目前,如果您将用户添加到docker
组中,您可以在不使用sudo的情况下运行所有docker命令。但是,我只想让用户运行一部分docker命令(即只读命令,例如inspect
,ps
,stats
,images
等)。
有没有一种方法来创建类似的第二个组?
目前,我正在使用sudoers文件限制用户执行上述命令。但是用户仍然需要键入sudo。
CentOS 7上的Docker版本为1.12.1。
目前,如果您将用户添加到docker
组中,您可以在不使用sudo的情况下运行所有docker命令。但是,我只想让用户运行一部分docker命令(即只读命令,例如inspect
,ps
,stats
,images
等)。
有没有一种方法来创建类似的第二个组?
目前,我正在使用sudoers文件限制用户执行上述命令。但是用户仍然需要键入sudo。
CentOS 7上的Docker版本为1.12.1。
为了限制用户仅能访问有限的命令集,您可以使用 授权插件(代码示例可在GitHub上的docker/go-plugins-helpers存储库中找到,更完整的示例在此处),或者使用代理服务器防止用户访问您不想让他们访问的API端点。
请注意,即使没有--privileged
,docker run
也允许访问主机文件系统。