Для веб-хостинга моя компания хочет использовать контейнеры докеров для каждого веб-приложения с обратным прокси-сервером в качестве интерфейса. Это работает, но мы ищем способ позволить нашим пользователям управлять своими собственными приложениями, а администраторы будут контролировать публичный и частный доступ через обратный прокси-сервер и DNS.
Но мы не можем позволить пользователю авторизоваться запускать / останавливать экземпляры докеров, поскольку пользователь, который может отправлять команду демону докеров, может делать все, что хочет (как описано Вот и Вот).
Итак, как мы можем позволить пользователю управлять запуском / остановкой и настройкой некоторых конкретных контейнеров докеров?
Единственное решение на данный момент (найдено Вот) позволяет докеру обнаруживать изменения в реестре для загрузки и перезапуска обновлений, например, с помощью Сторожевая башня).
Другая альтернатива - дождитесь поддержки пространства имен пользователя чтобы избежать того, чтобы пользователь корневого контейнера мог получить доступ к пользователю корневого хоста, но будет ли этого достаточно?
редактировать: docker не так хорош с точки зрения безопасности, но в нашем случае:
Вы можете добавить в свой интерфейс клиента опцию, которая показывает ему контейнер, которым он владеет, и позволяет ему перезагружать свой контейнер через Docker Remote API
Но это должно быть возможным только в том случае, если у вас есть безопасный пользовательский интерфейс и хорошее управление правами пользователей.
Имейте в виду, что удаленный API Docker изменится в следующей версии 1.9 в конце октября. Дорожная карта 1.9