啟用增強型容器隔離 (Enhanced Container Isolation)

訂閱：商務版

適用對象：管理員

ECI 可防止惡意容器危害 Docker Desktop，同時維持完整的開發者生產力。

本頁面將說明如何開啟增強型容器隔離 (ECI) 並驗證其運作是否正常。

先決條件

開始之前，您必須具備

在您的 Docker Desktop 設定中開啟 ECI

停止並移除所有現有的容器

$ docker stop $(docker ps -q)
$ docker rm $(docker ps -aq)

重要
ECI 無法保護在啟用該功能之前建立的容器。請在啟用 ECI 之前移除現有容器。

使用設定管理 (Settings Management) 在組織範圍內設定增強型容器隔離

{
  "configurationFileVersion": 2,
  "enhancedContainerIsolation": {
    "value": true,
    "locked": true
  }
}

根據需求設定以下內容
- "value": true：預設開啟 ECI（必填）
- "locked": true：禁止開發者關閉 ECI
- "locked": false：允許開發者控制此設定

若要使 ECI 設定生效

重要
僅從 Docker Desktop 選單重新啟動是不夠的。使用者必須完全結束並重新開啟 Docker Desktop。

您也可以為需要 Docker API 存取權限的受信任映像檔設定 Docker Socket 掛載權限。

開啟 ECI 後，請使用以下方法驗證其運作是否正常。

執行容器並檢查使用者命名空間映射

$ docker run --rm alpine cat /proc/self/uid_map

在開啟 ECI 的狀態下

0     100000      65536

這顯示容器的 root 使用者 (0) 被映射到 Docker Desktop VM 中的非特權使用者 (100000)，並具有 64K 的使用者 ID 範圍。每個容器都會獲得一個專屬的使用者 ID 範圍以進行隔離。

在關閉 ECI 的狀態下

0          0 4294967295

這顯示容器的 root 使用者 (0) 直接映射到 VM 的 root 使用者 (0)，提供的隔離性較低。

驗證所使用的容器執行階段

$ docker inspect --format='{{.HostConfig.Runtime}}' <container_name>

開啟 ECI 時，它會變成 sysbox-runc。關閉 ECI 時，它會返回 runc。

驗證 ECI 安全性限制是否已啟動。

測試命名空間共用

$ docker run -it --rm --pid=host alpine

在開啟 ECI 的狀態下，此指令會失敗，並顯示關於 Sysbox 容器無法與主機共用命名空間的錯誤訊息。

測試 Docker Socket 存取

$ docker run -it --rm -v /var/run/docker.sock:/var/run/docker.sock alpine

在開啟 ECI 的狀態下，此指令會失敗，除非您已為受信任的映像檔設定了 Docker Socket 例外。

當管理員透過設定管理強制執行增強型容器隔離時