Як заборонити доступ до внутрішніх контейнерів Docker?

Я хочу доставити свою програму клієнтам у формі зображення докера. Але важливо забезпечити, щоб кінцевий користувач нічого не змінював всередині контейнера. Користувач повинен мати змогу запускати / зупиняти контейнер і взаємодіяти з контейнером через мережу.

Чи можна заборонити доступ до внутрішніх контейнерів? Чи можна перевірити цілісність зображення з цього контейнера?

Коротше кажучи, ви не можете перешкодити своїм клієнтам змінювати контейнери, які вони працюють у власній інфраструктурі. Контейнери не схожі на бінарні файли, які можуть бути затуманені; вони є середовищами виконання. Код, який ви поширюєте всередині контейнера, може бути прихованим.

Ваше запитання натякає на питання сторонньої підтримки: клієнти модифікують програмне забезпечення, яке вони працюють у власних умовах. Якщо ви надаєте інструменти для керування контейнерами, які ви постачаєте (наприклад, моніторинг та ведення журналів), то клієнти повинні погодитись (як частина ліцензії на програмне забезпечення) не вносити в них несанкціоновані зміни. Це стосується всіх типів стороннього програмного забезпечення, а не лише контейнерів.

Залежно від вашої ситуації, ви також можете надати свій додаток як Software As A Service (SaaS), що працює в хмарній інфраструктурі.

Якщо ваш клієнт вимагає, щоб ваші контейнери працювали на їхній інфраструктурі, і відмовляється дотримуватися обмежень щодо модифікації, ви, ймовірно, не хочете намагатися підтримувати їх використання вашого програмного забезпечення.

Docker не надає жодних засобів для заборони доступу користувача до контейнера, проте як розробник зображень ви можете дотримуватися декількох стратегій

• Закрийте програмне забезпечення (ruby, python тощо)
• Створіть своє зображення з базового зображення, яке не має оболонки, та інших двійкових файлів, якими користувач може сковувати зображення.

Звичайно, вони завжди можуть експортувати контейнер і перепакувати його, але це крайні заходи ...

Ви можете видалити користувачів з групи Докер і створити sudos для docker startі docker stop.

Якщо ваш клієнт готовий вкласти гроші, тоді вам слід скористатися корпоративним виданням Docker. У Docker EE у вас є один інструмент - це UCP(Universal Control Plane) UCP . За допомогою UCP ви можете створювати ролі та права доступу та обмежувати користувача, щоб змінювати / змінювати контейнери.

Якщо ви хочете перевірити UCP, ніж DDC (Docker Data Center), що має одномісячну пробну ліцензію, яка допоможе вам розробити деталі відповідно до ваших вимог.

Сподіваюся, це допоможе!

Дякую!

Здійснюйте доставку через відповідні сценарії. Зберігайте всілякі обмеження та перевірки у скрипті ansible.