Is mounting /var/run/docker.sock mandatory for a server container to access Docker daemon?

[winrunwang]

I have packaged my server service into a Docker image. When starting the container, I want the service inside to be able to access the Docker daemon on the host.

I found a common solution like this:I have packaged my server service into a Docker image. When starting the container, I want the service inside to be able to access the Docker daemon on the host.

I found a common solution like this:

docker run -d \ --name opensandbox-server \ -p 8080:8080 \ -v /var/run/docker.sock:/var/run/docker.sock \ opensandbox-server

I want to confirm:

1. Is mounting /var/run/docker.sock the only way for the containerized server to access the Docker daemon?
2. If there are other secure and compliant approaches to let the container access Docker daemon without mounting /var/run/docker.sock, what are they?

In my company, mounting /var/run/docker.sock violates internal security policies, so I need an alternative solution.

[winrunwang]

我已经将我的 server 服务打包成了 Docker 镜像。在启动容器时，我希望容器内部的服务能够访问宿主机上的 Docker 守护进程（Docker daemon）。
我找到了一种常见的解决方案，如下所示：

docker run -d \ --name opensandbox-server \ -p 8080:8080 \ -v /var/run/docker.sock:/var/run/docker.sock \ opensandbox-server

我想确认：
挂载 /var/run/docker.sock 是不是让容器化服务访问 Docker 守护进程的唯一方式？
如果存在其他安全且合规、不需要挂载 /var/run/docker.sock 就能让容器访问 Docker 守护进程的方案，它们分别是什么？
在我公司内部，挂载 /var/run/docker.sock 违反了安全合规政策，因此我需要一种替代方案。

[hittyt]

这里先需要明确为什么你需要将宿主机的 docker sock mount进容器？

我猜你的场景是为了在生产环境启动 sandbox ？ 如果是这样的话，k8s 的 runtime 是不是更合适？