我需要让低级用户访问各种Jenkins作业,我想在主机上运行Jenkins作为Docker容器。
我知道如果一个用户(通过sudo或其他)可以访问Docker守护进程,那么由于Docker的能力(挂载根文件系统等),我实际上放弃了在主机上的超级用户访问。
从Jenkins保护我的Docker守护进程的最好方法是什么? 工作需要能够启动容器等
Docker 1.10是否解决了这个问题?
本文档指出:
从Docker 1.10起,Docker守护进程直接支持用户命名空间。 此function允许将容器中的根用户映射到容器外部的非uid-0用户,这有助于减轻容器突破的风险。 该工具可用,但默认情况下不启用。
有关此function的更多信息,请参阅命令行参考中的守护程序命令 。 有关Docker中用户命名空间的实现的更多信息可以在这篇博客文章中find。