假设我们尝试了不可能的事情:无根构建,但在一个非常有限的用例中:添加 1 个新层,只有 1 个简单的“无根”
COPY
(或cp
)指令(到非根拥有的 /tmp
文件夹)到现有的 docker 镜像(这是用一些 USER root
指令构建的,这是不可避免的)。
我探索的一些选项:
kubectl
(Tanzu)但到目前为止还没有找到任何真正无根的概念的工作证明。即使是基本映像的解压缩似乎也需要 root(虽然不需要解压缩标准档案)。
securityContext
需要以特定的许可方式设置(例如通过将seccompProfile.type
字段设置为Unconfined
像这样),则不会计算在内作为解决方案(在安全强化设置中不起作用)。