在大学实验室环境中管理 docker 个容器
Manage docker containers in a college lab environment
是否有在大学实验室环境中管理和配置 docker 容器的正确方法?
我要求安装 docker 以便我可以在一个项目中试验它,但在与我们的系统管理员交谈后,它似乎非常复杂。想知道 SO 是否有任何见解。
一些需要处理的异常:
- 同学会下载图片,可能是不好的
- 学生可以无限期地运行留下图片
- 一些容器需要更高的权限,例如 networking/IO/et 等等
- 学生会制作图像,因此图像可能存在错误,如果 docker 被授予粘性权限位或提升的用户组,这可能会导致违规
想到的解决方案之一是只允许学生使用管理程序,他们可以在其中安装他们喜欢的任何软件,包括 docker(我们目前无法这样做),但这有点绕过轻量级容器的优势。
您的系统管理员的担忧是合理的,但使用 Docker 应该只会对您现有的安全实践进行微小的改进。
如果您的学生现在可以通过这些机器访问互联网,那么他们可以:
- 下载可能有问题的二进制文件
- 无限期地离开进程运行ning
- 可能需要具有提升权限的进程
- 可能会产生错误|不安全的二进制文件
容器在机器上的进程之间提供了一些分区,但基本上所有发生的事情都是创建了名称空间并在其中 linux 进程 运行;名称 "containers" 有点误导,ps aux 将向您显示 所有 进程(包括基于容器的进程)运行ning机.
所以...假设您仍然需要控制学生从 Internet 下载的内容以及他们在计算机上的角色:
- 可以从云端或本地使用私有图像注册表
- 注册表可以与漏洞工具相结合,以帮助识别不良图像
- 整理学生的 "sessions" 也会涵盖 Docker 个容器中的进程
- 权限升级并不复杂(不同但不复杂)
- 在裸机上使用某种形式的 VM 虚拟化是个好主意
- 如果您使用的是基于云的 VM(或容器),则可以轻松销毁它们
我发现 Docker 负担重重的一个领域是管理容器生命周期(rm 旧容器,整理图像),但这应该是可管理的。
是否有在大学实验室环境中管理和配置 docker 容器的正确方法?
我要求安装 docker 以便我可以在一个项目中试验它,但在与我们的系统管理员交谈后,它似乎非常复杂。想知道 SO 是否有任何见解。
一些需要处理的异常:
- 同学会下载图片,可能是不好的
- 学生可以无限期地运行留下图片
- 一些容器需要更高的权限,例如 networking/IO/et 等等
- 学生会制作图像,因此图像可能存在错误,如果 docker 被授予粘性权限位或提升的用户组,这可能会导致违规
想到的解决方案之一是只允许学生使用管理程序,他们可以在其中安装他们喜欢的任何软件,包括 docker(我们目前无法这样做),但这有点绕过轻量级容器的优势。
您的系统管理员的担忧是合理的,但使用 Docker 应该只会对您现有的安全实践进行微小的改进。
如果您的学生现在可以通过这些机器访问互联网,那么他们可以:
- 下载可能有问题的二进制文件
- 无限期地离开进程运行ning
- 可能需要具有提升权限的进程
- 可能会产生错误|不安全的二进制文件
容器在机器上的进程之间提供了一些分区,但基本上所有发生的事情都是创建了名称空间并在其中 linux 进程 运行;名称 "containers" 有点误导,ps aux 将向您显示 所有 进程(包括基于容器的进程)运行ning机.
所以...假设您仍然需要控制学生从 Internet 下载的内容以及他们在计算机上的角色:
- 可以从云端或本地使用私有图像注册表
- 注册表可以与漏洞工具相结合,以帮助识别不良图像
- 整理学生的 "sessions" 也会涵盖 Docker 个容器中的进程
- 权限升级并不复杂(不同但不复杂)
- 在裸机上使用某种形式的 VM 虚拟化是个好主意
- 如果您使用的是基于云的 VM(或容器),则可以轻松销毁它们
我发现 Docker 负担重重的一个领域是管理容器生命周期(rm 旧容器,整理图像),但这应该是可管理的。