Iniciando contêineres de tarefas específicas de dentro de um contêiner de coordenador

Eu tenho contêineres que executam tarefas específicas, por exemplo, executar um comando R-project ou criar a forma de onda de um arquivo de áudio executando "docker (run | exec) run.sh", estou procurando maneiras de executá-los dentro de outros recipientes sem ter que fazer trabalho extra para cada nova tarefa.

A maneira atual em que estou pensando em resolver isso é dar acesso ao daemon do docker ligando o soquete dentro do contêiner. Meu host executa um contêiner docker que executa um aplicativo como usuário, app .

O soquete da estação de acoplamento do host é montado dentro do contêiner docker e um script é criado pela raiz, /usr/local/run_other_docker.sh .

Agora, o usuário app não tem direitos de acesso no soquete de encaixe montado, mas pode executar /usr/local/run_other_docker.sh após receber acesso sem senha como sudoer.

Quão perigoso é isso?

Existe uma maneira padrão / segura de iniciar outros contêineres de tarefas dentro de um contêiner sem vincular-se ao soquete da estação de encaixe do host?

A única outra solução que eu encontrei envolve a criação de um microsserviço que é executado no segundo container para o primeiro a ser chamado. Isso é indesejável porque acrescenta mais coisas pedindo manutenção para cada caso de uso.