--privileged
标志或--cap-add SYS_ADMIN
功能之一。这是我使用的命令:
这导致以下消息:mount -t cifs -o username='some_account@mydomain.internal',password='some_password' //192.168.123.123/MyShare /mnt/myshare
当我应用无法应用新的能力集。
--cap-add SYS_ADMIN
功能时,挂载命令正常工作,但我知道这会暴露主机面临明显的安全漏洞。我还阅读了此StackOverflow问题的建议(在Docker容器内挂载SMB/CIFS共享),将卷本地挂载到运行docker的服务器上。出于两个原因,这是不可取的:首先,容器由Rancher Kubernetes集群编排,我不知道如何使用Rancher实现nPcomp所描述的内容;其次,这意味着卷对docker主机是可访问的。我希望只有容器通过密钥库给予它的凭据才能访问此共享。
我的问题是:有没有一种方法可以在Docker容器(在Kubernetes中)中挂载CIFS/SMB3共享,而不会使主机面临权限升级漏洞并保护凭据?非常感谢。