Ist schon wieder mal etwas her, aber so wie ich das erinnere gab es einfach kein Werkzeug, um network namespaces so zu erzeugen, dass sie für verschiedene Benutzer benutzbar sind.
Ich meine, ich wollte soetwas machen, wie network namespaces beim Start erzeugen und dann den unterschiedlichen Benutzern mit nicht priviligierten Containern zur Verfügung stellen.
….
Wenn ich richtig suchen würde, würde ich bestimmt noch URLs, github issues und ähnliches zu dem Thema finden.
Falls soetwas in zwischen (unter Debian) reibungslos funktionieren sollte, wäre ich extrem interessiert.
@kubikpixel
Es sollte z.B. einen network namespace "backend network" geben. In diesem wäre dann ein Benutzer "mysql" eingesperrt gewesen und hätte nur ein entsprechendes Interface gesehen.
In einem anderen network namespace wäre z.B. ein Benutzer mit nginx gewesen.
als root hätte ich zwischen den network namespaces routing und firewalling einrichten wollen.
Die nicht-priviligierten Benutzer sollten auch docker container starten können und natürlich nicht die namespaces verändern können.