向客户交付图像通常是他们所做的事情。
$ docker-compose up -d
部署这些内容到生产环境中。很容易获取root权限并轻松查看/修改所有文件:
$ docker-compose exec <service> /bin/sh
/bin/sh(root)# ...
当运行容器时,我如何避免客户作为root用户获得对所有文件的完全访问权限。也许在Docker中根本不可能做到这一点,但至少应该让用户更难以访问容器内部的任何内容。
有没有最佳实践来引入非root帐户到容器中?