我正在向更多用户开放Docker服务器,并且遇到了这个问题:当我对不是容器作者的用户(例如docker ps)进行paul时,我查看所有容器并可以与之交互(停止,杀死等),这不是我想要的。
将容器限制为原始用户,然后无法访问服务器上所有容器的一种好方法,因此,当我执行docker ps时,我只会看到paul运行的容器而不是jack或jess?
我所有的容器都由不同的用户启动,没有一个由root用户启动。
答案 0 :(得分:0)
具有Docker访问权限的任何人都等同于root。
考虑我可以运行以下内容:
docker run -v /:/host alpine
现在,我可以使用root权限在主机上编辑任何文件。
Docker基本上不是多用户工具。您要么信任所有人,要么使用虚拟化为每个人提供各自的Docker实例,或者使用某种API代理来限制Docker的工作范围,从而使Docker领先。
因为它不是多用户工具,所以Docker不能真正跟踪启动容器的用户,因此无法过滤该信息。