Выполнение поднабора команд докера без sudo

Question

В настоящее время, если вы добавите своего пользователя в группу docker, вы можете запускать все команды докеров без sudo. Тем не менее, я хочу только, чтобы пользователь выполнил подмножество команд докера (а именно, команды только для чтения, такие как inspect, ps, stats, images и т. Д.).

Есть ли способ создать вторую группу, которая ведет себя аналогично?

В настоящее время я использую файл sudoers, чтобы ограничить пользователя вышеупомянутыми командами. Но пользователю по-прежнему приходится вводить sudo.

Docker версия 1.12.1 на CentOS 7.

Answer 1

запретить пользователь иметь доступ только к ограниченному набору команд, вы можете использовать примеры Authorization plugin (код можно найти в https://github.com/docker/go-plugins-helpers хранилище на GitHub, и более полный пример here) или использовать прокси-сервер, который предотвращает доступ к конечным точкам API, к которым вы не хотите, чтобы ваши пользователи имели доступ.

Имейте в виду, что docker run (даже без --privileged), обеспечивает доступ к файловой системе хоста.