银行容器化改造
4同行回答
1、首先必须考虑安全,生产环境的容器必须采用非root账号(使用功能性账号)启动应用容器
2、针对特殊情况需要提升权限的必须采用root账户,比如我们采用引流方式解决HA因为reload配置文件而引起的瞬断问题,就是用root账户启动HA容器
浏览2214
从安全角度考虑,最好要求容器启动时的用户是非root用户。这个不是在宿主机上限制的,而是在制作应用镜像的时候配置的,所以控制权限在应用开发人员那里。建议非root用户启动容器的主要考虑是docker本身还是不间断的会出现一些bug或者漏洞,如果黑客登陆到容器里,又有root权限,可能会利用docker的漏洞搞破坏,危害到宿主机,进而威胁到宿主机上的其它应用。但是容器内禁止使用root,也会带来一些文件访问权限的问题。如果对企业内部容器平台的用户访问控制非常有信心,也即可以登陆容器的用户是可信的,并且是可以审计的,也可以考虑允许以root用户启动容器。
收起