如何防止访问容器内的docker套接字窗体
在docker swarm集群中,我们如何防止容器访问docker套接字。我们有一个共享的swarm集群和容器,通过挂载docker.sock并作为容器中的根访问它,可以轻松访问docker.sock。我们如何否认这一点(假设我们无法控制正在部署的compose文件),我们希望在swarm/docker守护进程级别控制这一点,只允许访问运行Jenkins CI容器的少数机器,而不是swarm中的其他机器。如果用户可以选择选项在您的环境中创建容器,他们实际上拥有根。因此,您需要在撰写文件级别添加控件,而不是运行任何给定的操作。在我们的案例中,多个项目团队共享的swarm群集(docker UCP)很少,我们无法依靠开发团队在撰写文件中遵守某些规则。如果您要有效地部署到ucp/swarm,则需要在swarm/ucp级别(功能可能是)进行一些控制(解析/验证/覆盖组合),而不是组合。您需要在更高级别上解决这一问题。一旦有人有权使用自己的compose文件访问调度容器,他们就有了根访问权限。访问docker.sock文件是无数特权升级之一。他们可以很容易地如何防止访问容器内的docker套接字窗体,docker,docker-swarm,docker-ucp,Docker,Docker Swarm,Docker Ucp,在docker swarm集群中,我们如何防止容器访问docker套接字。我们有一个共享的swarm集群和容器,通过挂载docker.sock并作为容器中的根访问它,可以轻松访问docker.sock。我们如何否认这一点(假设我们无法控制正在部署的compose文件),我们希望在swarm/docker守护进程级别控制这一点,只允许访问运行Jenkins CI容器的少数机器,而不是swarm中的其他机器。如果用户可以选择选项在您的环境中创建容器,他们实际上拥有根。因此,您需要在撰写文件级别添加控
docker-run-v/:/target evil_-aippledocker-run-privileged evil_-aipple