Eu quero permitir que um contêiner do Docker invoque algumas ações em outro contêiner sem conceder privilégios completos. Um exemplo seria um contêiner do Docker que faz a rotação do log e recarrega os serviços posteriormente, ou um servidor de controle que deve ter permissão para modificar um determinado arquivo de configuração do nginx (que trabalha com permissões de arquivo) e recarregar o servidor.
Se o servidor de controle não fosse executado em um contêiner, eu poderia criar um script que executasse docker exec nginx_container nginx -s recarregar e permitir que um usuário não privilegiado o executasse criando uma entrada no arquivo / etc / sudoers .
Eu poderia, é claro, passar o soquete do docker para o contêiner, mas isso daria controle total sobre cada contêiner (e até mesmo sobre o host, como sabemos).
Então, como eu concedo um container para docker exec somente alguns comandos predefinidos em um container específico?
Estou usando o Docker 1.11 em um host Ubuntu 16.04.
Tags permissions docker linux ubuntu