Докер внутри докера
Можно ли запускать док-контейнер внутри другого док-контейнера? Пожалуйста, объясните, есть ли минусы.
До какой глубины желательно идти. Мне нужно сделать это в первую очередь из соображений безопасности.
Благодаря
2 ответа
У докера в докере есть варианты использования, но с точки зрения безопасности это - плохая идея, так как это требует, чтобы контейнер докера был выполнен в привилегированном режиме.
Это позволяет контейнеру докера делать почти все, что хост может сделать.
Например, изменяя параметры ядра базового хоста и получая доступ к информации из других контейнеров докера.
Запуск контейнера внутри контейнера не повышает безопасность. Хотя для этого вам нужно запустить внешний контейнер в привилегированном режиме, внешняя капсула почти изношена. Так что, в конце концов, это тот же уровень безопасности, что и при непосредственном запуске внутреннего контейнера.
Но это также усложняет ситуацию. Просто подумайте о монтировании тома во внутренний контейнер или о том, чтобы сделать порты доступными для хоста.
Итак, как и сказал предыдущий автор, ИМХО, это плохая идея.