在大学实验室环境中管理 docker 个容器

Manage docker containers in a college lab environment

是否有在大学实验室环境中管理和配置 docker 容器的正确方法?

我要求安装 docker 以便我可以在一个项目中试验它,但在与我们的系统管理员交谈后,它似乎非常复杂。想知道 SO 是否有任何见解。

一些需要处理的异常:

想到的解决方案之一是只允许学生使用管理程序,他们可以在其中安装他们喜欢的任何软件,包括 docker(我们目前无法这样做),但这有点绕过轻量级容器的优势。

您的系统管理员的担忧是合理的,但使用 Docker 应该只会对您现有的安全实践进行微小的改进。

如果您的学生现在可以通过这些机器访问互联网,那么他们可以:

  • 下载可能有问题的二进制文件
  • 无限期地离开进程运行ning
  • 可能需要具有提升权限的进程
  • 可能会产生错误|不安全的二进制文件

容器在机器上的进程之间提供了一些分区,但基本上所有发生的事情都是创建了名称空间并在其中 linux 进程 运行;名称 "containers" 有点误导,ps aux 将向您显示 所有 进程(包括基于容器的进程)运行ning机.

所以...假设您仍然需要控制学生从 Internet 下载的内容以及他们在计算机上的角色:

  • 可以从云端或本地使用私有图像注册表
  • 注册表可以与漏洞工具相结合,以帮助识别不良图像
  • 整理学生的 "sessions" 也会涵盖 Docker 个容器中的进程
  • 权限升级并不复杂(不同但不复杂)
  • 在裸机上使用某种形式的 VM 虚拟化是个好主意
  • 如果您使用的是基于云的 VM(或容器),则可以轻松销毁它们

我发现 Docker 负担重重的一个领域是管理容器生命周期(rm 旧容器,整理图像),但这应该是可管理的。