在 docker swarm 集群中,我们如何防止容器访问 docker socket。我们有一个共享的 swarm 集群,容器很容易通过挂载它来访问 docker.sock,并在容器中以 root 身份访问它。我们如何否认这一点(假设我们无法控制正在部署的 compose 文件),我们希望在 swarm/docker 守护进程级别控制这一点,仅允许对少数运行 Jenkins CI 容器的机器进行访问,而不是对 swarm 中的其他机器进行访问。
在 docker swarm 集群中,我们如何防止容器访问 docker socket。我们有一个共享的 swarm 集群,容器很容易通过挂载它来访问 docker.sock,并在容器中以 root 身份访问它。我们如何否认这一点(假设我们无法控制正在部署的 compose 文件),我们希望在 swarm/docker 守护进程级别控制这一点,仅允许对少数运行 Jenkins CI 容器的机器进行访问,而不是对 swarm 中的其他机器进行访问。