Сетевое взаимодействие с root-доступом и контейнерами Podman без root-доступа — DevConf.CZ 2023 скачать в хорошем качестве

Сетевое взаимодействие с root-доступом и контейнерами Podman без root-доступа — DevConf.CZ 2023

Докладчик(и): Клеменс Лэнг Podman может использовать пространства имён пользователей без прав root, чтобы позволить пользователям, не являющимся root, запускать контейнеры. Это означает, что root внутри контейнера больше не является root и вне его. Чем меньше root, тем лучше, поэтому нам всем, очевидно, следует запускать контейнеры без прав root, верно? К сожалению, сетевое взаимодействие для контейнеров без прав root имеет несколько недостатков (которые различаются в зависимости от используемой реализации). Нельзя ли запускать контейнеры без прав root, чтобы гарантировать отсутствие привилегий у процессов, но при этом использовать обычные сетевые возможности root? Оказывается, можно! Это история о том, как я реализовал возможность, упомянутую на последнем слайде презентации 2021 года и в публикации в списке рассылки Podman, по использованию сетевых возможностей root с контейнерами Podman без прав root. Предупреждение: вы можете узнать больше о работе сетевых пространств имён, чем хотели бы. https://sched.co/1MYkl