可以向Docker授予容器访问权限,以便它可以在主机上生成其他容器。您可以通过在容器内部暴露docker套接字来执行此操作,例如:
docker run -v /var/run/docker.sock:/var/run/docker.sock --name containerB myimage ...
现在,如果
docker容器中有可用的客户端,则可以控制主机上的docker守护程序,并使用它生成“容器A”。
在尝试这种方法之前,您应该了解安全方面的考虑:对docker的
root访问与对主机的访问相同,这意味着,如果您的Web应用程序受到远程破坏,您只需将主机的密钥交给了攻击者。本文将对此进行更全面的描述。
