V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zerphyr
V2EX  ›  Kubernetes

K8S 中的 POD,如何安全的执行 docker build?

  •  
  •   zerphyr · 1 天前 · 842 次点击

    问题

    服务运行环境是 k8s ,如果要执行 docker 命令,主要是安全问题,如何避免容器逃逸?

    AI 提供了两种解决方案

    1. 挂载主机 sock 使用 dind 执行 docker 命令
    2. 使用 buildx/buildkit ,维护一个专门执行 docker 命令的集群提供 docker 能力

    想问下大家有没有遇到类似的问题,如何解决的?

    第 1 条附言  ·  22 小时 45 分钟前
    找到了历史的回答: https://v2ex.com/t/1139075
    11 条回复    2025-09-02 14:15:50 +08:00
    weilai99
        1
    weilai99  
       23 小时 37 分钟前
    用 kaniko
    SmallZheng
        2
    SmallZheng  
       23 小时 32 分钟前
    kaniko +1
    anubu
        3
    anubu  
       23 小时 29 分钟前   ❤️ 1
    kaniko 不再维护了,但应该能继续用。docker 有 dind 镜像,sidecar 挂给业务容器,或 daemonset 每个节点放一个应该都行。
    orFish
        4
    orFish  
       23 小时 29 分钟前
    @weilai99
    @SmallZheng kaniko 已经 archived 了
    danbai
        5
    danbai  
    PRO
       23 小时 21 分钟前   ❤️ 1
    可以看看 firecracker-containerd 据描述他的隔离级别是对标 qemu
    Clannad0708
        6
    Clannad0708  
       23 小时 16 分钟前   ❤️ 1
    我工作接触过的,一种用 dind ,将宿主机的 sock 挂在进去,就是 dind 。还有可以试下用安全容器技术,katacontainer ,gvisor 。他们有自己的 sandbox 隔离容器。不和宿主机共享内核
    zerphyr
        7
    zerphyr  
    OP
       22 小时 51 分钟前
    @weilai99 kaniko 不考虑,首先不维护,其次会有特性缺失
    ExplodingFKL
        8
    ExplodingFKL  
       8 小时 29 分钟前   ❤️ 1
    kaniko 算是侵入性最小的方案了,而且只是没有新特性更新了,错误修复还是在继续进行: https://github.com/chainguard-dev/kaniko

    或者就是使用 sysbox : https://github.com/nestybox/sysbox 处理部分执行权限问题然后在 pod 内用 docker/podman

    最后就是:不要考虑任何依赖特权模式的解决方案
    weilai99
        9
    weilai99  
       5 小时 58 分钟前
    buildah 也行
    sampeng
        10
    sampeng  
       3 小时 57 分钟前
    以前我也焦虑这个问题。后来想明白了。。这都是自己吓自己。没有任何手段从外部进来。docker build 也是自己写,ci 自动调度的。哪来的 docker 逃逸呢?
    standchan
        11
    standchan  
       3 小时 11 分钟前
    buildkit
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5180 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 09:27 · PVG 17:27 · LAX 02:27 · JFK 05:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.