在不受信任的主机上运行的docker容器

Question

我知道在主机上运行的docker容器具有root权限。

我想从web应用程序中使用HTTP requests启动一个容器，但我不信任运行docker的主机。

是否可以将我的容器作为"black-box"，这样我就可以防止主机中的根用户访问它？

我想要的是简单地运行它？

有没有其他方法可以代替docker来实现这一点？

Answer 1

我知道运行在主机上的docker容器具有根权限。

这在很大程度上是错误的。docker容器仅对容器可见的内容具有root访问权限；即显式挂载到容器上的目录。

是否可以使我的容器成为一个“黑盒”，这样我就可以防止主机中的根用户访问它？

不是的。机器的root用户有权访问机器上的所有内容。没有办法阻止root用户访问容器。

有没有其他替代方案可以替代docker来实现这一点？

您将在主机上以某种形式部署应用程序，这将导致一个可运行的进程。root用户将始终有权访问和控制此进程。因此，无论采用哪种方法，都无法阻止root用户访问应用程序进程。