容器技术之Docker教程：Docker守护进程dockerd访问授权和命名空间选项

容器技术之Docker教程：Docker守护进程dockerd访问授权和命名空间选项

用户可以通过组织可以购买或构建的授权插件来扩展Docker的访问授权。daemon使用该 --authorization-plugin=PLUGIN_ID选项启动Docker时，可以安装一个或多个授权插件。

例如

$ sudo dockerd --authorization-plugin=plugin1 --authorization-plugin=plugin2,...

该PLUGIN_ID值可以是插件的名称，也可以是其规范文件的路径。插件的实现确定您是否可以指定名称或路径。请咨询您的Docker管理员以获取有关可用插件的信息。

安装插件后，插件daemon将允许或拒绝通过命令行或Docker的Engine API对的请求。如果您安装了多个插件，则每个插件必须依次允许请求完成。

有关如何创建授权插件的信息，请参阅本文档“ Docker扩展”部分中的“授权插件”部分。

守护程序用户名称空间选项

Linux内核 用户名称空间支持 通过使进程（从而使容器）具有唯一范围的用户和组ID来提供额外的安全性，这些范围在主机系统所使用的传统用户和组范围之外。潜在的最重要的安全改进是，默认情况下，以root用户身份运行的容器进程 将在容器内部具有预期的管理特权（有一些限制），但将有效地映射到uid主机上的非特权。

有关如何使用此功能以及限制的详细信息，请参阅 使用用户名称空间隔离容器。