保护码头文件系统访问

Question

我们在开发过程中使用码头工具，一切正常。我们的软件是用PHP编写的，并用MySQL，Apache和许多框架和库进行码头处理。

对于我们的一些客户，我们希望运送码头图像以便让他们测试，评估和使用它。使用码头图像，他们只需要运行容器并获得完全安装和配置的系统 - 非常简单！

但是：我们如何才能避免客户通过简单地附加到docker或在容器内部创建一些exec来看到我们的代码？

是否有技术可以完全锁定对容器内文件系统的每种访问？我们只想通过ssh访问我们的软件。

Answer 1

使用docker run命令可以在运行时覆盖几乎所有关于图像构建的内容。所以他们甚至不需要做exec，他们可以只是覆盖cmd或entrypoint bash或其他。每当客户有你的代码（甚至编译/加密/等...），他们有你的代码。如果这真的是一个大问题，请考虑一下SaaS模型。