2020-12-17 17:53:08
来 源
中存储网
Docker
用户可以通过组织可以购买或构建的授权插件来扩展Docker的访问授权。daemon使用该 --authorization-plugin=PLUGIN_ID选项启动Docker时,可以安装一个或多个授权插件。

容器技术之Docker教程:Docker守护进程dockerd访问授权和命名空间选项

用户可以通过组织可以购买或构建的授权插件来扩展Docker的访问授权。daemon使用该 --authorization-plugin=PLUGIN_ID选项启动Docker时,可以安装一个或多个授权插件。

kejihao.com

例如

$ sudo dockerd --authorization-plugin=plugin1 --authorization-plugin=plugin2,...

该PLUGIN_ID值可以是插件的名称,也可以是其规范文件的路径。插件的实现确定您是否可以指定名称或路径。请咨询您的Docker管理员以获取有关可用插件的信息。

安装插件后,插件daemon将允许或拒绝通过命令行或Docker的Engine API对的请求。如果您安装了多个插件,则每个插件必须依次允许请求完成。

有关如何创建授权插件的信息,请参阅本文档“ Docker扩展”部分中的“授权插件”部分。

守护程序用户名称空间选项

Linux内核 用户名称空间支持 通过使进程(从而使容器)具有唯一范围的用户和组ID来提供额外的安全性,这些范围在主机系统所使用的传统用户和组范围之外。潜在的最重要的安全改进是,默认情况下,以root用户身份运行的容器进程 将在容器内部具有预期的管理特权(有一些限制),但将有效地映射到uid主机上的非特权。

有关如何使用此功能以及限制的详细信息,请参阅 使用用户名称空间隔离容器。

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。