我正在寻找一种方法来保护容器免受常规用户空间的影响。
当我启动容器时我可以
- 查看有关内部发生情况的大量信息(例如,
ps还显示容器内的 pid) - 让容器做任何我想做的事情(例如
docker exec)。
是否可以这样启动容器,以便我只能
- 停止并移除(或许暂停)容器但对其没有其他控制?
- 查看容器对外部世界的操作/影响(总共使用的资源、离开容器的 TCP/IP 数据包......),但不知道这些资源是如何使用的、TCP/IP 数据包如何在容器内部传播......?
所以我实际上想要的是与通常的隔离相反的效果。
我找不到任何关于这个的信息,甚至在官方文档的安全部分。
我提出这个问题的最重要原因是:
它可以更容易地保护容器免受常规用户空间中发生的事故的影响。