从集装箱内部控制码头是否可行？

Question

我已经尝试过将我的站点部署脚本打包到一个Docker容器中。我的想法是，我的服务都在容器中，然后使用特殊的管理容器来管理其他容器。

我的想法是，我的主机应该尽可能哑(目前我使用的是CoreOS，唯一的状态是启动管理容器的systemd配置)。

管理容器被用作基于我发送给它的源代码创建新容器的推送目标(至少我现在使用的是SSH )。该脚本还在一个单独的容器中管理持久数据(数据库文件、日志等)，并管理它的备份，这样我就可以在不接触任何数据的情况下删除和重建所有数据。为此，我在启动管理容器时使用-v选项转发Docker套接字。

这是个好主意还是坏主意？我这样做会遇到问题吗？我没有在任何地方读到它是不鼓励的，但我也没有找到很多其他人这样做的例子。

Answer 1

这是完全可以的，而且你不是唯一这样做的:-)

使用的另一个示例是使用管理容器为Docker提交身份验证。它将接受与-p一起发布的公开TCP端口上的连接，并接受到UNIX的代理请求。

Answer 2

由于这个问题在今天仍然有意义，我想更详细地回答：

使用此设置是可能的，您可以将对接器套接字传递到正在运行的容器中。这是由许多解决方案和工作很好。但你必须考虑问题，随之而来的是：

1. 如果要使用套接字，则必须是容器内的根用户。这允许在容器内执行任何命令。因此，例如，如果入侵者控制这个容器，他控制所有其他码头容器。
2. 如果您公开的套接字与jpetzzo所支持的TCP端口一样，您将遇到同样的问题，因为现在您甚至不需要破坏容器，而只需要破坏网络。如果你过滤连接(就像他的评论中提到的那样)，第一个问题就会继续存在。

​

TLDR；

您可以这样做，它会工作的，但是接下来您必须考虑一下安全性。