如果你想在docker容器已经运行时动态地访问可以插入的USB设备，例如在/dev/video0上访问一个附加的USB摄像头，你可以在启动容器时添加一个cgroup规则。该选项不需要——特权容器，只允许访问特定类型的硬件。

步骤1

检查您想要添加的设备类型的设备主编号。您可以在linux内核文档中查找它。或者你可以检查你的设备。例如，要检查连接到/dev/video0的网络摄像头的设备主设备号，可以执行ls -la /dev/video0。结果如下:

crw-rw----+ 1 root video 81, 0 Jul  6 10:22 /dev/video0

其中第一个数字(81)是设备主设备号。一些常见的设备主号:

81: usb网络摄像头 188: usb到串行转换器

步骤2

在启动docker容器时添加规则:

添加——device-cgroup-rule='c major_number:* rmw'规则用于您想要访问的每种类型的设备 增加对udev信息的访问，这样docker容器就可以通过-v /run/udev:/run/udev:ro来获取usb设备上的更多信息 使用-v /dev:/dev将/dev卷映射到docker容器

总结

因此，要将所有usb网络摄像头和serial2usb设备添加到docker容器，请执行以下操作:

docker run -it -v /dev:/dev --device-cgroup-rule='c 188:* rmw' --device-cgroup-rule='c 81:* rmw' ubuntu bash

在当前版本的Docker中，你可以使用——device标志来实现你想要的，而不需要访问所有的USB设备。

例如，如果你想在Docker容器中只使/dev/ttyUSB0可访问，你可以这样做:

docker run -t -i --device=/dev/ttyUSB0 ubuntu bash

我想扩展已经给出的答案，包括对未使用/dev/bus/usb捕获的动态连接设备的支持，以及在使用Windows主机和boot2docker VM时如何使其工作。

如果你正在使用Windows，你需要在VirtualBox管理器中为你想要Docker访问的设备添加任何USB规则。为此，您可以通过以下命令停止虚拟机:

host:~$ docker-machine stop default

打开VirtualBox管理器，根据需要添加带有过滤器的USB支持。

启动boot2docker虚拟机:

host:~$ docker-machine start default

由于USB设备连接到boot2docker虚拟机，因此需要从该机器运行命令。打开虚拟机的终端，运行docker run命令:

host:~$ docker-machine ssh
docker@default:~$ docker run -it --privileged ubuntu bash

注意，当命令像这样运行时，只有以前连接的USB设备将被捕获。只有当您希望在容器启动后连接的设备上工作时，才需要volumes标志。在这种情况下，你可以使用:

docker@default:~$ docker run -it --privileged -v /dev:/dev ubuntu bash

注意，在某些情况下，我必须使用/dev而不是/dev/bus/usb来捕获像/dev/sg2这样的设备我只能假设对于/dev/ttyACM0或/dev/ ttyusb0这样的设备也是如此。

docker运行命令也可以在Linux主机上运行。

还有一种更简单的共享usb设备的方法，没有——privileged标志。这样做:

Docker运行…——device=/dev/bus/usb——device=/dev/usb <container> .使用实例

我们很难将特定的USB设备绑定到同样特定的docker容器上。如你所见，推荐的实现方式是:

docker run -t -i --privileged -v /dev/bus/usb:/dev/bus/usb ubuntu bash

它将把所有设备绑定到这个容器。它是不安全的。每个集装箱都被授予操作所有这些。

另一种方法是通过devpath绑定设备。它可能看起来像:

docker run -t -i --privileged -v /dev/bus/usb/001/002:/dev/bus/usb/001/002 ubuntu bash

或者——device(最好没有特权):

docker run -t -i --device /dev/bus/usb/001/002 ubuntu bash

更安全。但实际上很难知道特定设备的devpath是什么。

我写了这个repo来解决这个问题。

https://github.com/williamfzc/usb2container

部署此服务器后，您可以通过HTTP请求轻松获得所有连接设备的信息:

curl 127.0.0.1:9410/api/device

并获得:

{
    "/devices/pci0000:00/0000:00:14.0/usb1/1-13": {
        "ACTION": "add",
        "DEVPATH": "/devices/pci0000:00/0000:00:14.0/usb1/1-13",
        "DEVTYPE": "usb_device",
        "DRIVER": "usb",
        "ID_BUS": "usb",
        "ID_FOR_SEAT": "xxxxx",
        "ID_MODEL": "xxxxx",
        "ID_MODEL_ID": "xxxxx",
        "ID_PATH": "xxxxx",
        "ID_PATH_TAG": "xxxxx",
        "ID_REVISION": "xxxxx",
        "ID_SERIAL": "xxxxx",
        "ID_SERIAL_SHORT": "xxxxx",
        "ID_USB_INTERFACES": "xxxxx",
        "ID_VENDOR": "xxxxx",
        "ID_VENDOR_ENC": "xxxxx",
        "ID_VENDOR_FROM_DATABASE": "",
        "ID_VENDOR_ID": "xxxxx",
        "INTERFACE": "",
        "MAJOR": "189",
        "MINOR": "119",
        "MODALIAS": "",
        "PRODUCT": "xxxxx",
        "SEQNUM": "xxxxx",
        "SUBSYSTEM": "usb",
        "TAGS": "",
        "TYPE": "0/0/0",
        "USEC_INITIALIZED": "xxxxx",
        "adb_user": "",
        "_empty": false,
        "DEVNAME": "/dev/bus/usb/001/120",
        "BUSNUM": "001",
        "DEVNUM": "120",
        "ID_MODEL_ENC": "xxxxx"
    },
    ...
}

把它们绑在你的容器上。例如，您可以看到该设备的DEVNAME为/dev/bus/usb/001/120:

docker run -t -i --device /dev/bus/usb/001/120 ubuntu bash

也许会有帮助。

另一种选择是调整udev，它控制设备的挂载方式和权限。用于允许非根用户访问串行设备。如果你有永久连接的设备，——device选项是最好的选择。如果你有短暂的设备，这是我一直在使用的:

1. 设置udev规则

默认情况下，串口设备被挂载，只有root用户可以访问该设备。我们需要添加一条udev规则，让非root用户也能读懂它们。

创建一个名为/etc/udev/rules.d/99-serial.rules的文件。在该文件中添加以下一行:

内核==“ttyUSB[0-9]*”，MODE=“0666”

MODE="0666"将给予所有用户对ttyUSB设备的读/写(但不执行)权限。这是最允许的选项，您可能希望根据您的安全需求进一步限制它。您可以阅读udev以了解更多关于控制设备插入Linux网关时发生的事情的信息。

2. 从主机到容器挂载在/dev文件夹中

Serial devices are often ephemeral (can be plugged and unplugged at any time). Because of this, we can’t mount in the direct device or even the /dev/serial folder, because those can disappear when things are unplugged. Even if you plug them back in and the device shows up again, it’s technically a different file than what was mounted in, so Docker won’t see it. For this reason, we mount the entire /dev folder from the host to the container. You can do this by adding the following volume command to your Docker run command:

- v / dev: / dev

如果您的设备是永久连接的，那么从安全角度来看，使用——device选项或更特定的卷挂载可能是更好的选择。

3.以特权模式运行container

如果你没有使用——device选项，并且挂载在整个/dev文件夹中，你将被要求运行容器的特权模式(我将检查上面提到的cgroup的东西，看看是否可以删除)。你可以通过在Docker run命令中添加以下命令来做到这一点:

——特权

4. 从/dev/serial/by-id文件夹访问设备

如果您的设备可以插拔，Linux并不保证它总是挂载在同一个ttyUSBxxx位置(特别是如果您有多个设备)。幸运的是，Linux会自动创建到/dev/serial/by-id文件夹中的设备的符号链接。此文件夹中的文件将始终命名相同。

这是一个快速的纲要，我有一篇博客文章详细介绍。