我看了这个关于 Docker 的 YouTube 视频 https://www.youtube.com/watch?v=vb7U_9AO7Ww22:00 演讲者(Docker 产品经理)说道:
"您可能会想“Docker 不支持多租户”……您是对的!"
但从未给出任何实际原因的解释。所以我想知道:他这是什么意思?为什么 Docker 不支持多租户?!如果你谷歌“Docker 多租户”,你会惊讶地什么也得不到!
多租户工具最常见的关键功能之一是每个租户之间的隔离。他们不应该能够查看或管理彼此的容器和/或数据。
docker-ce 引擎是一个开箱即用的系统管理员级别工具。任何可以使用任意选项启动容器的人都拥有主机的 root 访问权限。有像twistlock这样的第三方工具可以与authz插件接口连接,但它们只提供粗略的访问控制,每个人都被允许或禁止进行一整类活动,例如启动容器或查看日志。授予用户访问 TLS 端口或 docker 套接字的权限会导致用户被归入单一类别,对于连接到 docker 引擎的用户来说,没有组或命名空间的概念。
对于多租户,docker 需要添加一种方法来定义用户,并将它们放置在仅允许对特定容器和卷进行操作的命名空间中,并限制允许突破容器的选项,例如更改功能或安装任意内容来自主机的文件系统。 Docker 的企业产品 UCP 确实开始通过在对象上使用标签来添加这些功能,但我还没有时间评估这是否会提供完整的多租户解决方案。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
