호스트에 대한 액세스 권한을 docker
부여하는 대신 사용자를 그룹에 추가하면 실질적인 이점이 있습니까 ?sudo
긴 이야기를 위해, 저는 그룹의 구성원이 서버가 수신 대기 중인 Unix 도메인 소켓을 통해 Docker 서버와 docker
직접 상호 작용할 수 있는 방법(즉, 를 사용하지 않고 ) 을 보여주는 튜토리얼을 작성하고 있습니다 .sudo
dockerd
그러나 권한이 없는 사용자에게 임의의 컨테이너를 생성할 수 있는 권한을 부여함으로써 사용자는 다음과 같은 이점을 얻는 것으로 보입니다.효과적인호스트에 대한 루트 액세스: 예를 들어 바인드 마운트를 통해 호스트 fs를 수정하는 것이 매우 쉬워집니다. 또는 procfs
/ 를 통해 커널과 상호 작용합니다 sysfs
. 그렇다면 docker
해당 사용자에게 시스템에 대한 루트 액세스 권한을 부여하는 대신 누군가를 그룹에 넣는 것이 무슨 의미가 있습니까 ?
답변1
아니면 사용자가루트 셸에 바로 넣을 수 있는 멋지고 편리한 Docker 컨테이너를 로드합니다..
Docker 소켓에 대한 액세스 권한을 부여하면 사실상 권한 상승 기능이 보장됩니다.
여기서 중요한 것은 당신의 의도를 선언하는 것입니다. 항상 모든 명령을 docker
실행할 필요 없이 컨테이너를 실행할 수 있도록 누군가를 그룹에 배치합니다 . 루트로 명령을 실행하고 실행할 수 있기를 원할 때 sudo
누군가를 배치합니다 .sudoers
sudo
임의의 사람에게 Docker 소켓에 대한 액세스 권한을 부여하지 않으려면 거의 확실하게 OpenShift 또는 Kubernetes와 같은 오케스트레이션 시스템을 사용해야 합니다.