用户可以通过购买或自建授权插件来扩展Docker的访问权限。在启动Docker守护进程时,可以使用 –authorization-plugin=plugin_ID 选项来安装一个或多个授权插件。
例如:
$ sudo dockeRd –authorization-plugin=plugin1 –authorization-plugin=plugin2,…
plugin_ID可以是插件名称或其规范文件的路径。具体实施方式取决于插件的设计,建议咨询您的Docker管理员以了解可用插件的信息。
插件安装后,守护进程将根据命令行或Docker引擎API的请求进行授权或拒绝。如果安装了多个插件,每个插件必须依次允许请求才能完成。
有关创建授权插件的详细信息,请参见本文件中“Docker扩展”部分的“授权插件”章节。
守护进程的用户名称空间选项
Linux内核的用户名称空间支持通过为进程(从而为容器)提供一个独立的用户和组ID范围,来增强安全性。这个范围与主机系统的传统用户和组范围是分开的。最重要的安全改进是,默认情况下,以Root用户身份运行的容器进程将在容器内部拥有预期的管理特权(尽管有一些限制),但在主机上将有效地映射为非特权用户的uid。
有关如何使用此功能及其限制的详细信息,请参阅使用用户名称空间隔离容器。
