启用增强型容器隔离

Table of contents

Subscription: Business

For: Administrators

ECI 可在保持开发者完整生产力的同时，防止恶意容器破坏 Docker Desktop。

本页介绍如何开启增强型容器隔离（ECI）并验证其是否正常工作。

先决条件

开始前，您必须满足以下条件：

在 Docker Desktop 设置中开启 ECI：

停止并删除所有现有容器：

$ docker stop $(docker ps -q)
$ docker rm $(docker ps -aq)

Important

ECI 无法保护在开启该功能前已创建的容器。开启 ECI 前请删除现有容器。

使用 Settings Management 在组织范围内配置增强型容器隔离：

{
  "configurationFileVersion": 2,
  "enhancedContainerIsolation": {
    "value": true,
    "locked": true
  }
}

根据需要配置以下选项：
- "value": true：默认开启 ECI（必需）
- "locked": true：防止开发者关闭 ECI
- "locked": false：允许开发者控制该设置

ECI 设置生效需满足以下条件：

Important

仅从 Docker Desktop 菜单重启不够。用户必须完全退出并重新打开 Docker Desktop。

您还可以为需要 Docker API 访问的可信镜像配置 Docker socket 挂载权限。

开启 ECI 后，请通过以下方法验证其是否正常工作。

运行容器并检查用户命名空间映射：

$ docker run --rm alpine cat /proc/self/uid_map

ECI 开启时：

0     100000      65536

这表示容器 root 用户 (0) 映射到 Docker Desktop VM 中的非特权用户 (100000)，用户 ID 范围为 64K。每个容器获得专属用户 ID 范围以实现隔离。

ECI 关闭时：

0          0 4294967295

这表示容器 root 用户 (0) 直接映射到 VM root 用户 (0)，隔离性较弱。

验证正在使用的容器运行时：

$ docker inspect --format='{{.HostConfig.Runtime}}' <container_name>

ECI 开启时返回 sysbox-runc。ECI 关闭时返回 runc。

验证 ECI 安全限制是否生效。

测试命名空间共享：

$ docker run -it --rm --pid=host alpine

ECI 开启时，此命令会因 Sysbox 容器无法与主机共享命名空间而失败。

测试 Docker socket 访问：

$ docker run -it --rm -v /var/run/docker.sock:/var/run/docker.sock alpine

ECI 开启时，此命令会失败，除非您已为可信镜像配置 Docker socket 例外。

当管理员通过 Settings Management 强制实施增强型容器隔离时：