问题
服务运行环境是 k8s ,如果要执行 docker 命令,主要是安全问题,如何避免容器逃逸?
AI 提供了两种解决方案
- 挂载主机 sock 使用 dind 执行 docker 命令
- 使用 buildx/buildkit ,维护一个专门执行 docker 命令的集群提供 docker 能力
想问下大家有没有遇到类似的问题,如何解决的?
第 1 条附言 · 11 小时 5 分钟前
找到了历史的回答: https://v2ex.com/t/1139075
 |
1
weilai99 11 小时 58 分钟前
用 kaniko
|
 |
2
SmallZheng 11 小时 53 分钟前
kaniko +1
|
 |
3
anubu 11 小时 50 分钟前  1
kaniko 不再维护了,但应该能继续用。docker 有 dind 镜像,sidecar 挂给业务容器,或 daemonset 每个节点放一个应该都行。
|
 |
4
orFish 11 小时 49 分钟前
|
 |
5
danbai PRO 可以看看 firecracker-containerd 据描述他的隔离级别是对标 qemu
|
 |
6
Clannad0708 11 小时 36 分钟前 1
我工作接触过的,一种用 dind ,将宿主机的 sock 挂在进去,就是 dind 。还有可以试下用安全容器技术,katacontainer ,gvisor 。他们有自己的 sandbox 隔离容器。不和宿主机共享内核
|
Select Language