2022-05-10 Self-hosted GitLab Runnerで安全にdockerを扱えるようにする 下書き
投稿済み
https://blog.aoirint.com/entry/2022/05/10/self_hosted_gitlab_runner_docker_safely/
適当に検索すると、ホストへの特権昇格を許す設定ばかり見かける。
自分だけしか使わないならば構わないかもしれないけれど、なんらかのCIを実行する権限さえあれば、ホストのroot権限をとれるというのは危険だと思う。
(コードレビュー必須でPRではマージ済みのCIが実行されるならいいのか...?)
GitLabの公式Shared Runnerがやっているように、docker-machineを使うのがいいはず。
おそらくdocker入りの仮想マシンをCIジョブごとに立てて、privilegedなコンテナからブレイクアウトしても仮想マシンの外に出られないようになっていると思う。
GitLabはいろいろオープンなので、実際のShared Runnerの構成・設定が公開されている。たいへん助かる。
https://docs.gitlab.com/ee/ci/runners/saas/linux_saas_runner.html
ツリー
https://twitter.com/aoirint/status/1523826104343343105
https://twitter.com/aoirint/status/1524426103615500288