服务运行环境是 k8s ,如果要执行 docker 命令,主要是安全问题,如何避免容器逃逸?
1
weilai99 23 小时 37 分钟前
用 kaniko
|
2
SmallZheng 23 小时 32 分钟前
kaniko +1
|
![]() |
3
anubu 23 小时 29 分钟前 ![]() kaniko 不再维护了,但应该能继续用。docker 有 dind 镜像,sidecar 挂给业务容器,或 daemonset 每个节点放一个应该都行。
|
![]() |
4
orFish 23 小时 29 分钟前
|
![]() |
5
danbai PRO ![]() 可以看看 firecracker-containerd 据描述他的隔离级别是对标 qemu
|
![]() |
6
Clannad0708 23 小时 16 分钟前 ![]() 我工作接触过的,一种用 dind ,将宿主机的 sock 挂在进去,就是 dind 。还有可以试下用安全容器技术,katacontainer ,gvisor 。他们有自己的 sandbox 隔离容器。不和宿主机共享内核
|
8
ExplodingFKL 8 小时 29 分钟前 ![]() kaniko 算是侵入性最小的方案了,而且只是没有新特性更新了,错误修复还是在继续进行: https://github.com/chainguard-dev/kaniko
或者就是使用 sysbox : https://github.com/nestybox/sysbox 处理部分执行权限问题然后在 pod 内用 docker/podman 最后就是:不要考虑任何依赖特权模式的解决方案 |
9
weilai99 5 小时 58 分钟前
buildah 也行
|
10
sampeng 3 小时 57 分钟前
以前我也焦虑这个问题。后来想明白了。。这都是自己吓自己。没有任何手段从外部进来。docker build 也是自己写,ci 自动调度的。哪来的 docker 逃逸呢?
|
11
standchan 3 小时 11 分钟前
buildkit
|