gerenciamento de privilégio semelhante a sudo para contêineres docker

1

Eu quero permitir que um contêiner do Docker invoque algumas ações em outro contêiner sem conceder privilégios completos. Um exemplo seria um contêiner do Docker que faz a rotação do log e recarrega os serviços posteriormente, ou um servidor de controle que deve ter permissão para modificar um determinado arquivo de configuração do nginx (que trabalha com permissões de arquivo) e recarregar o servidor.

Se o servidor de controle não fosse executado em um contêiner, eu poderia criar um script que executasse docker exec nginx_container nginx -s recarregar e permitir que um usuário não privilegiado o executasse criando uma entrada no arquivo / etc / sudoers .

Eu poderia, é claro, passar o soquete do docker para o contêiner, mas isso daria controle total sobre cada contêiner (e até mesmo sobre o host, como sabemos).

Então, como eu concedo um container para docker exec somente alguns comandos predefinidos em um container específico?

Estou usando o Docker 1.11 em um host Ubuntu 16.04.

    
por muffel 26.06.2016 / 20:30

0 respostas