容器技术之Docker教程:Docker守护进程dockerd访问授权和命名空间选项
用户可以通过组织可以购买或构建的授权插件来扩展Docker的访问授权。daemon使用该 --authorization-plugin=PLUGIN_ID选项启动Docker时,可以安装一个或多个授权插件。
例如
$ sudo dockerd --authorization-plugin=plugin1 --authorization-plugin=plugin2,...
该PLUGIN_ID值可以是插件的名称,也可以是其规范文件的路径。插件的实现确定您是否可以指定名称或路径。请咨询您的Docker管理员以获取有关可用插件的信息。
安装插件后,插件daemon将允许或拒绝通过命令行或Docker的Engine API对的请求。如果您安装了多个插件,则每个插件必须依次允许请求完成。
有关如何创建授权插件的信息,请参阅本文档“ Docker扩展”部分中的“授权插件”部分。
守护程序用户名称空间选项
Linux内核 用户名称空间支持 通过使进程(从而使容器)具有唯一范围的用户和组ID来提供额外的安全性,这些范围在主机系统所使用的传统用户和组范围之外。潜在的最重要的安全改进是,默认情况下,以root用户身份运行的容器进程 将在容器内部具有预期的管理特权(有一些限制),但将有效地映射到uid主机上的非特权。
有关如何使用此功能以及限制的详细信息,请参阅 使用用户名称空间隔离容器。