允许非泊坞窗组启动容器

据我所知，docker组成员基本上等于root权限。 我需要允许一个用户执行特定的容器，但我不希望他是根等效的。

因为制作bash脚本setgid是个相当麻烦的问题，所以我正在考虑编写一个简短的可执行文件，这个文件将被设置为docker组，并且只会启动特定的docker容器。 这个特定的可执行文件将是+ x并由另一个用户拥有。 任何用户可以启动它的副作用是可以接受的。

这会给docker组带来什么安全感吗？ 或者是微不足道的打破？

我怀疑我是第一个想要这个的人，这通常如何解决？

• Windows 10教育上的Windows容器是否不可用？
• Docker机器用户无法访问主机上的文件

• 我可以在Docker Nginx容器中放置哪些function？
• 重新运行bash以便连接到Docker运行实例的最佳实践
• 对于Docker容器，SELinux比AppArmor更安全吗？
• 如何在Docker中实现seccomp？
• 作为非root用户在Docker容器中运行不可信代码的潜在安全问题是什么？
• 你怎么知道公共Docker镜像是安全的？
• OpenShift是否通过在主机级别分离容器来支持真正的多租户？
• 在Openshift上以非root用户身份运行nginx，并在端口80上侦听
• 在kubernetes pods /容器上应用自定义SELinux策略