这是典型的SELinux强制访问控制（MAC）限制导致的问题——虽然你已经给了宿主机/mydir完全的DAC权限（777），但SELinux的安全上下文没有配置为允许容器进程访问，所以即使是容器内的root用户也会被阻止写入。

下面是几种解决方案，按推荐程度排序：

1. 永久配置SELinux上下文（推荐） #

这个方法会让/mydir的SELinux上下文永久适配Docker容器访问：

• 首先添加上下文规则：

  semanage fcontext -a -t svirt_sandbox_file_t "/mydir(/.*)?"
  

• 然后应用规则到目录：

  restorecon -Rv /mydir
  

执行完这两步后，重启容器或者重新挂载，容器内的root就能正常写入/data目录了，而且这个配置会在系统重启后保持有效。

2. 临时修改SELinux上下文（测试用） #

如果只是临时测试，不想修改永久规则，可以用chcon临时调整上下文：

chcon -Rt svirt_sandbox_file_t /mydir

注意：系统重启或者重新挂载该目录后，这个临时设置会失效。

3. 启动容器时添加特权参数（不推荐） #

你可以在启动容器时加上--privileged参数，让容器获得宿主机的几乎所有权限，绕过SELinux限制：

docker run -it --privileged -v /mydir:/data container_image bash

但不建议在生产环境使用，因为这会极大降低容器的隔离性，带来安全风险。

4. 临时关闭SELinux（不推荐） #

作为最后的测试手段，可以临时关闭SELinux Enforcement模式：

setenforce 0

如果要永久关闭，需要编辑/etc/selinux/config，把SELINUX=enforcing改成SELINUX=permissive，然后重启系统。但同样不推荐，因为SELinux是CentOS重要的安全防护层，关闭会增加系统暴露风险。

验证方法 #

修改完上下文后，进入容器执行：

touch /data/test.txt

如果没有报错，说明问题解决了。

内容的提问来源于stack exchange，提问作者xenoid