目前,如果您将用户添加到docker组,则可以在不使用sudo的情况下运行所有docker命令。但是,我只想让用户运行docker命令的子集(即inspect,ps,stats,images等只读命令等。 )。
有没有办法创建行为相似的第二组?
目前,我正在使用sudoers文件来限制用户使用上述命令。但是用户仍然需要键入sudo。
CentOs 7上的Docker版本1.12.1。
答案 0 :(得分:1)
要限制用户只能访问有限的命令集,您可以使用Authorization plugin(可以在GitHub上的https://github.com/docker/go-plugins-helpers存储库中找到代码示例,以及更完整的示例{ {3}}),或使用代理服务器阻止访问您不希望用户有权访问的API端点。
请注意,docker run(即使没有--privileged)允许访问主机的文件系统。