Red Hat Enterprise Linux 7 inclut une prise en charge officielle pour l'exécution des conteneurs Docker, et Red Hat propose un ensemble d'images Docker rhel officielles. Une caractéristique intéressante de ces images est que les packages peuvent être installés via l'abonnement Red Hat Network de l'hôte sans avoir à effectuer de configuration dans le conteneur.
Pour citer https://access.redhat.com/articles/881893#createimage :
"Pour la version actuelle de Red Hat Docker, l'image Docker RHEL 7 par défaut que vous extrayez de Red Hat pourra tirer parti des droits RHEL 7 disponibles sur le système hôte. Ainsi, tant que votre hôte Docker est correctement abonné et que les référentiels sont si vous avez besoin d’obtenir le logiciel que vous souhaitez dans votre conteneur (et d’avoir accès à Internet depuis votre hôte Docker), vous devriez pouvoir installer des packages à partir des référentiels logiciels RHEL 7. "
Je crains que le mécanisme permettant d'atteindre cet objectif soit assez opaque. Lors du démarrage d'un nouveau conteneur avec l'image rhel7.1, par exemple, il est possible de s'exécuter yum install foo
sans même configurer les variables d'environnement du proxy http. Sans comprendre ce mécanisme, l'administrateur système est potentiellement à la merci d'interactions inconnues entre le système hôte, le démon Docker et les conteneurs en cours d'exécution. Cela suggère également que l'isolement normal entre l'hôte et le conteneur est en quelque sorte compromis (quoique de manière bénigne).
Pour mettre un point dessus: comment cette prise en charge de l'abonnement est-elle réalisée et dépend-elle de la construction personnalisée du démon Docker fournie par Red Hat via le réseau d'abonnement?