ドッカーの学習を始めました。ドッカーコマンドの制限を追加する
私はグループ 'docker'を作成し、ユーザーをグループに追加しました。これらのユーザーは 'docker run'などを実行するときにsudoを使用することを避けることができますが、これらのユーザーに 'docker rm、docker rmi 、docker images 'など。' docker 'グループのユーザーに対して、これらのコマンドに制限を設定する方法はありますか?達成することは可能ですか?
おかげ
編集:ここでは
が我々の場合で、(私の英語を言い訳、私ははっきりとそれを説明願っています)
私たちは、ノードのクラスタを持って、我々は、ドッキングウィンドウをインストールするansibleを使用し、ドッカー画像を作成し、各ノードに画像を保存します。ユーザーはこれらのノードに触れることは望ましくありません。
別のWebポータルからユーザーがログインすると、クラスタから1つのノードが割り当てられ、ブラウザからアクセス可能なデスクトップが表示されます。私たちは、ユーザーにはまったくroot権限を持たせたくありません。彼らは自分のホームフォルダ内でのみ動作することが許可されています。ユーザーのためのsudoパスワードはありません。
デスクトップには、メニューオプション 'ABC'があります。 'ABC'はドッカーコンテナ内のアプリケーションです。したがって、メニューオプションをクリックするとコンテナが実行され、メニューの後ろにあるコマンドは「ドッカー実行...」となります。 dockerは 'root'としてしか動作しないので、ログインしたユーザーを 'docker'グループに追加して、ユーザーがメニューをクリックすると 'docker run'はsudoパスワードを要求せず、アプリケーションコンテナは正常に実行されます。
しかし、問題は「ドッカー」グループのユーザーはrootと見なされるため、ユーザーが「ドッカー実行」を使用できるようにしても、おそらく多くのことが可能です。
ユーザーを「ドッカー」グループに追加しないと、メニューをクリックしてもプログラムは起動しません。
私はまだこれに対する解決策を見つけようとしています。
おかげ
誤ってこれらのコマンドを使用したり、コンテナや画像を悪意のある形で削除しないようにユーザーを保護しようとしていますか? – R0MANARMY
私は、ユーザーがコンテナや画像を悪意を持って削除しないようにします。 – yis