Obiettivo
Comprendi le opzioni per proteggere il docker.sock.
Sfondo
Come in quegli articoli, dare ai container l'accesso a docker.sock è un rischio.
- Non esporre la presa del Docker (nemmeno in un contenitore)
- Accesso al socket Docker nel contenitore
- The Dangers of Docker.sock
Tuttavia, potrebbero esserci casi in cui è necessario distribuire un pod che deve comunicare con il daemon docker tramite il socket per il monitoraggio o il controllo. Ad esempio datadog che monta il socket tramite il supporto hostPath.
Opzioni
OpenShift richiede una concessione esplicita di SCC, ad es. hostaccess all'account di servizio che esegue il pod per il pod per utilizzare hostPath, ma è proprietario di OpenShift.
Suppongo che SELinux possa essere usato in modo che tutti i pod che accedono al docker siano obbligati ad avere una determinata etichetta.
Domanda
Vorrei sapere se la mia comprensione dell'etichetta SELinux è valida e quali altre opzioni sarebbero disponibili.