Запуск докерской констанеры без полномочий root?

529
memorableUserNameHere

Есть ли способ для пользователей без root-доступа запускать Docker-контейнер?

Чтобы было ясно, я не спрашиваю, могу ли я создать пользователя в контейнере, который запускается как не-root. Скорее, мне нужно знать, может ли и каким образом пользователь, не имеющий абсолютно никаких прав root или подобных ему, в первую очередь запустить контейнер Docker.

Я изучаю некоторые способы распространения сложного программного обеспечения для исследований и обучения, и докер предлагался несколько раз. Основная проблема для меня заключается в том, что для простого запуска докер-контейнеров требуются права суперпользователя, что может создавать проблемы для некоторых пользователей.

Я сделал по крайней мере несколько часов гугл-фу-ин:

  • Эти источники ( 1, 2, 3 ) говорят о создании контейнерных пользователей, у которых нет привилегий root, но я не верю, что это позволяет пользователям без полномочий root запускать контейнеры.

  • Эти источники ( 4, 5 ) говорят о группе докеров, но обратите внимание, что группа докеров является корневым эквивалентом. Это производит на меня впечатление чрезвычайно опасного, не говоря уже о бессмысленности, и никогда не будет позволено нашими администраторами по юридическим причинам.

  • Эти источники ( 6 ) говорят о интервале имен, но я не достаточно опытен в докере, чтобы знать, что это то, что я ищу.

1

2 ответа на вопрос

0
canit0

Пипы Red Hat работают с cri-o для запуска контейнеров Linux без использования Docker.

http://www.projectatomic.io/blog/2017/07/unprivileged-containers-with-bwrap-oci-and-bubblewrap/

-1
canit0

Вы смотрели в пузырчатую пленку?

https://github.com/projectatomic/bubblewrap

Пипы Red Hat работают с кри-о, чтобы запустить Linux без Docker.

Похожие вопросы