Справочная информация, я хочу дать людям в моей команде возможность создавать и запускать docker изображения для разработки портативных внутренних конвейеров анализа.
Как полный нуб, который не хочет создавать безопасность проблемы на этом сервере, должен ли я:
- добавлять пользователей в группу docker (и не беспокоиться),
- давать пользователям разрешение на «sudo docker»,
- go для режима без root,
- go для режима переназначения пользователей,
- настроить docker для прослушивания (локального) TCP-порта или
- поставить docker на виртуальную машину и открыть TCP-порт?
Я не / супер / беспокоюсь о безопасности, например, я не хочу открывать TCP-порт для WAN, и я не хочу давать своим пользователям «полное» sudo на этом сервере, но меня не особо беспокоит то, что они запускают CVE, чтобы получить root ...
Любое понимание будет приветствоваться компромисс различных вариантов, перечисленных выше. например, у меня такое ощущение, что параметры docker group и sudo docker эквивалентны с точки зрения побочных эффектов ... хотя не уверен!
Ссылки: