从安全角度来看,我想知道将主机的 CA 证书卷安装到容器中是否存在问题。例如,
docker run \
-v /usr/local/share/ca-certificates:/usr/local/share/ca-certificates:ro \
image:tag
我想避免复制文件并运行update-ca-certificates
容器的典型过程,并且主机已经像这样设置。这有什么问题吗?有没有更好的方法?
部署限制:
- 使用 ootb 提供的容器,我不想只为了放入几个文件而制作自己的版本(在我的用例中也不可行)
- 仅通过
docker run
命令运行,不需要compose
答案1
这有什么问题吗?
不 - 只要您愿意信任同一组 CA,在容器中安装这个只读文件应该没有问题。
根据 Docker 镜像中的发行版,您可能需要运行命令,以update-ca-certificates
使系统了解证书。我相信这适用于 Ubuntu 和 Debian。