目前專案用到了一個第三方的軟體,提供了很多指令。我們做的事情就是將這些命令開放成restful服務,供各系統使用。
有一個需求:要將一些危險的命令過濾掉,主要都是一些"寫"命令,比如Export,就是導出一個資料到某個目錄。 "ClearAttribute"清除某個系統屬性(不是寫指令)。
當使用者請求中包含此類的命令,直接403
我們目前的做法是 黑/白 名單,但是太麻煩了,經常要添加新命令,也有被錯殺掉的。
我在想這種場景把這個服務做到容器裡面,然後對整個容器做權限控制。是不是可以解決?
從來沒弄過docker,不知道適不適合這麼搞。
網上有人說可以用sandbox弄,搜了下sandbox和docker區別,也沒弄清楚。
在你的場景裡docker約等於vm && 約等於物理機. 所以, 你想加幾台機器來滿足應用上的一些需求顯然是不合理的.
docker不是萬能的.
docker不是萬能的.
docker不是萬能的.
像樓上說的docker 不是萬能的,
你可以自己寫這個系統,然後由這個系統提供服務給外面,這個系統過濾權限,也由這個系統調用本機的東西,然後同樣要把這個系統打包到docker 中。