从安全角度考虑,最好要求容器启动时的用户是非root用户。这个不是在宿主机上限制的,而是在制作应用镜像的时候配置的,所以控制权限在应用开发人员那里。建议非root用户启动容器的主要考虑是docker本身还是不间断的会出现一些bug或者漏洞,如果黑客登陆到容器里,又有root权限,可能会利用docker的漏洞搞破坏,危害到宿主机,进而威胁到宿主机上的其它应用。但是容器内禁止使用root,也会带来一些文件访问权限的问题。如果对企业内部容器平台的用户访问控制非常有信心,也即可以登陆容器的用户是可信的,并且是可以审计的,也可以考虑允许以root用户启动容器。
