Чому Докеру потрібні привілеї root?

Я вивчаю Докера, і мені це дуже подобається.

Однак я не розумію, навіщо докеру потрібні привілеї root для створення контейнерів, читання журналів тощо.

Я прочитав такі статті, як ця

https://docs.docker.com/articles/security/

але все, що я бачу там, є "докер потребує кореневих привілеїв, оскільки він може мати доступ до кореневих папок". Ну, я б не проти запускати докери як некоріозні та надавати їм доступ лише до некорінних папок, що належать користувачеві у зовнішній системі.

Чому це проблема?

Деякі "круті" функції докера, такі як прив'язка портів, встановлення файлових систем тощо, суворо вимагає, щоб docker.io демон працював із привілеями суперкористувача.

Однак ви можете використовувати docker інструмент командного рядка без привілеїв root, якщо docker.ioдемон прослуховує мережевий порт або його unix-сокет доступний користувачеві для читання та запису.

Це ВЕЛИКЕ порушення безпеки, і його зазвичай не слід використовувати.

Додаткові відомості про безпеку Docker: https://docs.docker.com/articles/security/

За цими посиланнями

• https://github.com/docker/docker/isissue/1034
• https://github.com/docker/docker/isissue/2919
• http://s3hh.wordpress.com/2013/07/19/creating-and-using-containers-without-privilege/ (лише незначно пов'язані)

Докери не могли мати мережу, якщо вона не мала кореневих привілеїв, якщо я правильно це розумію.

Я не впевнений, чи це все.