Docker-授予容器访问主机CA证书的权限

Docker-授予容器访问主机CA证书的权限

从安全角度来看,我想知道将主机的 CA 证书卷安装到容器中是否存在问题。例如,

docker run \
    -v /usr/local/share/ca-certificates:/usr/local/share/ca-certificates:ro \
    image:tag

我想避免复制文件并运行update-ca-certificates容器的典型过程,并且主机已经像这样设置。这有什么问题吗?有没有更好的方法?

部署限制:

  • 使用 ootb 提供的容器,我不想只为了放入几个文件而制作自己的版本(在我的用例中也不可行)
  • 仅通过docker run命令运行,不需要compose

答案1

这有什么问题吗?

不 - 只要您愿意信任同一组 CA,在容器中安装这个只读文件应该没有问题。

根据 Docker 镜像中的发行版,您可能需要运行命令,以update-ca-certificates使系统了解证书。我相信这适用于 Ubuntu 和 Debian。

相关内容