默认情况下，Docker 容器是“无特权”的，所有权限和操作都隔离在容器中。但 “privileged（特权）”容器有权访问所有设备。

--privileged 参数为容器提供所有功能。当执行 docker run --privileged 时，Docker 将启用对宿主机上所有设备的访问。允许容器对主机的访问几乎与在外部运行的进程相同。

但是这样也同样会带来一些问题，特别是容器逃逸的问题，有很大的安全隐患。如果要限制对特定设备的访问，则可以使用 --device 参数。它允许在容器内访问指定的一个或多个设备。

docker run --device=/dev/sda:/dev/xvdc