Red Hat Enterprise Linux 7 包含对运行 Docker 容器的官方支持,并且 Red Hat 提供了一组官方的 rhel Docker 镜像。这些镜像的一个有趣特性是可以通过主机的 Red Hat Network Subscription 安装软件包,而无需在容器内执行任何配置。
引用https://access.redhat.com/articles/881893#createimage:
“对于当前的 Red Hat Docker 版本,您从 Red Hat 中提取的默认 RHEL 7 Docker 映像将能够利用主机系统提供的 RHEL 7 权利。因此,只要您的 Docker 主机正确订阅并且存储库是启用您需要在容器中获取所需软件(并且可以从 Docker 主机访问 Internet),您应该能够从 RHEL 7 软件存储库安装软件包。”
我担心的是,实现这一目标的机制相当不透明。例如,当使用 rhel7.1 镜像启动一个新容器时,yum install foo甚至可以在不配置 http 代理环境变量的情况下运行。如果不了解这种机制,系统管理员可能会受到主机系统、Docker 守护程序和正在运行的容器之间未知交互的影响。这也表明主机和容器之间的正常隔离在某种程度上受到了损害(尽管是以一种良性的方式)。
重点说一下:这种订阅支持是如何实现的,它是否依赖于 Red Hat 通过订阅网络提供的 Docker 守护程序的自定义构建?