Objetivo
Comprenda las opciones para asegurar el docker.sock.
Fondo
Como en esos artículos, dar a los contenedores el acceso a docker.sock es un riesgo.
- No exponga el zócalo Docker (ni siquiera a un contenedor)
- Acceda al socket Docker dentro del contenedor
- The Dangers of Docker.sock
Sin embargo, podría haber casos en los que tengamos que implementar un pod que requiera hablar con el demonio docker a través del socket para monitorear o controlar. Por ejemplo, datadog que monta el zócalo a través de hostPath mount.
Opciones
OpenShift requiere una concesión explícita de SCC, por ejemplo. hostaccess a la cuenta de servicio que ejecuta el pod para que el pod use hostPath, pero es propiedad de OpenShift.
Supongo que se puede usar SELinux para que cualquier pod que acceda al socker docker tenga que tener una etiqueta determinada.
Pregunta
Me gustaría saber si mi comprensión de la etiqueta SELinux es válida y qué otras opciones estarían disponibles.