Docker守护程序以root身份运行.一旦我们将用户添加到Docker组中,他就可以启动任何Docker容器甚至特权容器.这似乎是一个严重的安全问题.
有没有一种方法可以限制Docker组中的某些用户无法运行特权容器?
如果要提供“ docker-as-a-service”,则可能要在其前面放置诸如Kubernetes之类的内容,它仅提供对Docker API的间接访问,并且可以配置为允许或拒绝使用特权用户.容器.