目前项目用到了一个第三方的软件,提供了很多命令。我们做的事情就是将这些命令开放成restful服务,供各个系统使用。
有一个需求:要将一些危险的命令过滤掉,主要都是一些"写"命令,比如Export,就是导出一个数据到某个目录。"ClearAttribute"清除某个系统属性(不是写命令)。
当用户请求中包含此类的命令,直接403
我们目前的做法是 黑/白 名单,但是太麻烦了,经常要添加新命令,也有被错杀掉的。
我在想这种场景把这个服务做到容器里面,然后对整个容器做权限控制。是不是可以解决?
从来没弄过docker,不知道适不适合这么搞。
网上有人说可以用sandbox弄,搜了下sandbox和docker区别,也没弄清。
高洛峰2017-04-24 09:14:43
귀하의 시나리오에서 docker는 vm &&와 거의 같으며 이는 물리적 머신과 거의 같습니다. 따라서 일부 애플리케이션 요구 사항을 충족하기 위해 몇 대의 머신을 추가하는 것은 분명히 비합리적입니다. 만병통치약.
Docker가 전부는 아닙니다.
Docker가 전부는 아닙니다.
大家讲道理2017-04-24 09:14:43
위에서 언급한 것처럼 docker는 전능하지 않습니다.
이 시스템을 직접 작성하면 이 시스템이 외부 세계에 서비스를 제공하고 이 시스템은 로컬 항목도 호출합니다. 이 시스템을 docker로 패키징합니다.