Estou analisando a noção de vault rodando sob swarm (1.12.x).
Um único contêiner seria iniciado com:
docker run -d --cap-add IPC_LOCK -p 8200:8200 -p 8215:8125 --name vault --volume /vagrant/vault:/vagrant/vault vault server -config=/path/to/vault.hcl
mas quando eu quero executar isso no enxame como um serviço, parece não haver como especificar a IPC_LOCKcapacidade, a fim de bloquear a troca criptografada para o serviço de cofre neste caso.
Como posso definir sinalizadores --cap-add ao iniciar um serviço de modo de enxame com o docker service createcomando?