История изменений

Основная задача, которая решается - это изоляция окружения, по факту тот кто может запускать контейнеры на хосте, через монтирование может получить доступ, допустим к /etc/shadow. При запуске dind и пробросе его в нужный тебе контейнер или запуск контейнера в контексте dind, ты не сможешь получить доступ к хосту. Плюсом можно ограничить сетевой доступ, так как тебе нужно. И при том ты получишь повторяемость и изоляцию. Допустим многие в CI любят под конец таски вызывать docker system prune –all –force, что может удалить только что собраный образ из соседнего пайплайна. Это один из понятных примеров.

Короче для систем, где есть больше одного пользователя, это обязательная вещь.

Основная задача, которая решается - это изоляция окружения, по факту тот кто может запускать контейнеры на хосте, через монтирование может получить доступ, допустим к /etc/shadow. При запуске dind и пробросе его в нужный тебе контейнер или запуск в контейнера в контексте dind, ты не сможешь получить доступ к хосту. Плюсом можно ограничить сетевой доступ, так как тебе нужно. И при том ты получишь повторяемость и изоляцию. Допустим многие в CI любят под конец таски вызывать docker system prune –all –force, что может удалить только что собраный образ из соседнего пайплайна. Это один из понятных примеров.

Короче для систем, где есть больше одного пользователя, это обязательная вещь.