如何正确地与容器内的码头客户端进行交互

Question

我正在用烧瓶编写一个小应用程序，它的目的是与docker交互，以便按需运行容器。我想把这个应用程序部署到一个码头容器中。但是，我知道挂载对接器套接字比较糟糕，因为它在本地主机上具有根权限。

是否有适当的方法来访问容器内的docker，以避免这种警告？

Answer 1

为什么将Docker套接字安装到非特权容器是个坏主意？

为了将unix套接字挂载到您的Docker容器，您需要更改Docker守护进程套接字的权限。显然，这可能使非根用户能够访问Docker守护进程，如果您担心权限升级攻击，这可能是一个问题。(来源)

我真的需要保护码头套接字吗？

这取决于你的用法。如果您的服务器上有许多用户，并且特别担心一个非特权用户会影响您的应用程序，那么一定要保护套接字。如果这是一个完全专用于应用程序的虚拟机，那么不安全可能会更容易。

如何不安全地与套接字进行交互？

只需更改权限(在此描述)，然后将套接字挂载到容器。就这么简单。

如何安全地与套接字进行交互？

我认为有两种很好的方法：

1. 启用TLS身份验证后，重新启动Docker Daemon。与其访问unix套接字，不如使用带有签名的SSL密钥的HTTPS访问它。有关设置的更多说明可以找到这里。
2. 如这里所述，在unix上使用授权插件。