我想允许Docker容器调用另一个容器上的一些操作,而不授予它完整的权限。 一个例子是一个Docker容器,它可以做日志轮转并重新加载服务,或者是一个控制服务器,它应该被允许修改某个nginxconfiguration文件(与文件许可协同工作),然后重新加载服务器。
如果控制服务器不能在容器中运行,我可以创build一个执行docker exec nginx_container nginx -s reload的脚本,并允许非特权用户通过在/ etc / sudoers文件中创build一个条目来运行它。
我当然可以将docker套接字传递给容器,但是这样可以完全控制每个容器(甚至是我们所知道的主机)。
那么,如何将一个容器授予docker exec只在特定容器上的一些预定义的命令?
我在Ubuntu 16.04主机上使用Docker 1.11。