tl; dr:有没有办法在调用者SELinux上下文中运行docker容器?
出于构建/测试目的,我在不同的(主要是基于RH的)服务器上运行了一堆不同的docker映像。
想象一下这样的自动流程:
此设置的一个特殊功能是,所有docker容器都在相同(版本化)的源文件上工作,并绑定安装到/src中。早些时候,我发现我必须为容器提供SELinux挂载选项:Z或:z才能访问主机上检出的文件。
由于设计决定,这些容器还可以通过src访问另一个容器的构建工件。显然,/src/的重新标记在具有相当大构建历史的主机系统上可能要花费几分钟。
我当然可以尝试重新构建内容或在容器上使用--security-opt label:disable。但是我想知道为什么首先需要重新标记。我不能只在 my 上下文中运行容器吗?在该设置中,它们基本上像复杂的chroot一样工作,并且不公开任何公共服务。
奖金问题:--security-opt label:disable到底能做什么?