了解保护docker.sock的选项。
与那些文章一样,访问docker.sock是一种风险。
但是,有些情况下我们需要部署一个pod,这需要通过套接字与docker守护进程通信以进行监视或控制。例如datadog通过hostPath mount挂载套接字。
OpenShift要求明确授予SCC,例如hostaccess到服务帐户运行pod以使pod使用hostPath,但它是OpenShift专有的。
我认为可以使用SELinux,以便任何访问docker socker的pod都需要有一个标签。
我想知道我对SELinux标签的理解是否有效,以及还有哪些其他选择。
Red Hat不支持将Docker套接字卷装入容器中。这意味着虽然完全可以这样做(与任何其他卷安装一样),但Red Hat无法协助使用此设置进行配置,由于此设置或安全问题/担心这一设置而引起的问题。 / p>