Docker konteynerinin iç kısımlarına erişim nasıl engellenir?

Uygulamamı docker görüntüsü şeklinde müşterilere teslim etmek istiyorum. Ancak son kullanıcının kabın içinde hiçbir şeyi değiştirmemesini sağlamak çok önemlidir. Kullanıcı yalnızca kapsayıcıyı çalıştırabilir / durdurabilmeli ve kapsayıcıyla ağ üzerinden etkileşim kurabilmelidir.

Konteynerin iç kısımlarına erişimi yasaklamak mümkün mü? Kapsayıcıdan yapılan görüntünün bütünlüğünü doğrulamak mümkün müdür?

Kısacası, müşterilerinizin kendi altyapılarında çalıştırdıkları kapları değiştirmelerini engelleyemezsiniz. Kaplar gizlenebilen ikili dosyalar gibi değildir; bunlar çalışma ortamıdır. Bununla birlikte, kabın içine dağıttığınız kod gizlenebilir.

Sorunuz bir üçüncü taraf destek sorunuyla ilgilidir: kendi ortamlarında çalıştırdıkları yazılımı değiştiren istemciler. Tedarik ettiğiniz kapları çalıştırmak için araçlar sağlarsanız (örn. İzleme ve günlüğe kaydetme), istemciler (yazılım lisansının bir parçası olarak) üzerinde yetkisiz değişiklikler yapmama konusunda anlaşmalıdır. Bu, yalnızca kapsayıcılar için değil, her tür üçüncü taraf yazılımı için geçerlidir.

Durumunuza bağlı olarak, uygulamanızı bir bulut altyapısında çalışan Hizmet Olarak Yazılım (SaaS) olarak sağlama seçeneğiniz de olabilir.

Müşteriniz kapsayıcılarınızın altyapılarında çalışmasını gerektiriyorsa ve değişiklik kısıtlamalarına uymayı reddediyorsa, muhtemelen yazılımınızı kullanımlarını desteklemeye çalışmak istemezsiniz.

Docker, kapsayıcıya kullanıcı erişimini engellemek için herhangi bir yöntem sunmaz, ancak resim geliştiricisi olarak birkaç stratejiyi takip edebilirsiniz

• Yazılımınızı gizleyin (yakut, python vb.)
• Görüntünüzü, kabuğu olmayan bir temel görüntüden ve kullanıcının görüntüyü çiğnemek için kullanabileceği diğer ikili dosyalardan oluşturun.

Tabii ki her zaman konteyneri ihraç edebilir ve yeniden paketleyebilirler, ancak bunlar aşırı önlemlerdir ...

Sen liman işçisi grubundan kullanıcıları kaldırmak ve için sudos oluşturabilir docker startve docker stop.

Müşteriniz para yatırmaya hazırsa, Docker kurumsal sürümüne gitmelisiniz. Docker EE'de UCP(Universal Control Plane) UCP olan bir aracınız vardır . UCP ile roller ve erişim hakları oluşturabilir ve kullanıcının kapsayıcıları değiştirmesini / değiştirmesini kısıtlayabilirsiniz.

UCP'yi DDC'den (Docker Veri Merkezi) test etmek istiyorsanız, gereksinimlerinize göre işleri ayrıntılı bir şekilde belirlemenize yardımcı olacak bir aylık deneme lisansına sahip olursunuz.

Umarım bu yardımcı olur!

Teşekkür ederim!

Teslimatınızı uygun komut dosyaları aracılığıyla verin. Her türlü kısıtlamayı ve kontrolü ansible komut dosyasında saklayın.