Docker 是否需要 rootless？

确实比较好奇 dev container 的公司级别部署方案。
之前工作的地方有一个很完备的.devcontainer ，忘记保存下来了

作为一个运维，一般不愿意 rootless ，主要是排查问题很麻烦
一般我建议做好网络隔离、防火墙策略，就免掉了绝大多数的问题了（我觉得遇到 day0 攻击也防不了，不如想想怎么备份）

@676529483 #2 我觉得不太行，原因有两点：

1 、大公司有安全测试/审计/合规审查，root 权限排查可能过不去（和他们杠也没用，让整改也没招）。

2 、像数据库这种的，在没容器的时代，安装都不是用 root 用户，都需要专门配一个数据库用户，然后数据库用户只能操作数据库相关的环境。

3 、一旦爆发 0day ，rootless 策略起码还有一层安全保护。