嘿，我完全懂你现在的困扰——CentOS 7上装rootless Docker确实麻烦，毕竟它依赖的内核特性和工具在CentOS 7的默认环境里支持得不够好，再加上你们用NIS管理用户，踩坑简直是必然的。不过别担心，这里有两个可行的方案，能让你的开发团队不用sudo权限、也不用批量加docker组就能用Docker。

方案一：用sudoers做精细化权限控制 #

这个思路是通过sudo的规则，让指定用户/用户组可以免密执行特定的Docker命令，相当于把sudo的权限收窄到只允许Docker操作，不会给用户完整的sudo权限。

• 先定义允许的Docker命令集
  用visudo编辑sudoers文件（一定要用这个命令，不然语法错了会锁死sudo），添加命令别名：

  Cmnd_Alias DOCKER_ALLOWED = /usr/bin/docker run, /usr/bin/docker ps, /usr/bin/docker images, /usr/bin/docker stop, /usr/bin/docker rm
  

  你可以根据团队需求加更多子命令，比如需要构建镜像就加/usr/bin/docker build，不需要的操作就别加，尽量最小化权限。

• 给NIS用户/组授权
  如果你的开发人员都在某个NIS组里（比如dev-group），直接给组授权：

  %dev-group ALL=(ALL) NOPASSWD: DOCKER_ALLOWED
  

  如果要给所有NIS用户开权限（不推荐，尽量按组来更安全），就写：

  ALL ALL=(ALL) NOPASSWD: DOCKER_ALLOWED
  

• 测试一下
  切换到任意NIS用户账号，直接敲docker ps试试——系统会自动用sudo权限执行，不用输密码，完美。

  注意：这个方案本质是通过sudo后台执行，所以一定要仔细配置允许的命令，别把危险操作（比如docker run --privileged）加进去，避免安全风险。

方案二：用Podman替代Docker（完全兼容命令） #

Podman是红帽推出的容器工具，天生支持无root运行，对CentOS 7的适配比rootless Docker好太多，而且命令和Docker几乎一模一样，开发人员根本不用改习惯。

• 安装Podman
  CentOS 7直接用yum就能装：

  sudo yum install -y podman
  

• 配置无root运行的UID/GID映射
  无root模式需要给用户分配子UID和子GID，NIS用户默认不会在本地/etc/subuid和/etc/subgid里，所以得手动加：

  sudo usermod --add-subuids 100000-165535 用户名
  sudo usermod --add-subgids 100000-165535 用户名
  

  如果用户多，写个循环脚本批量处理就行，或者找NIS管理员在服务器端统一配置这些属性。

• 让Podman兼容Docker命令
  给用户创建个软链接，把podman改成docker，这样原来的命令直接能用：

  ln -s /usr/bin/podman ~/bin/docker
  

  确保~/bin在用户的PATH里（一般默认都在），以后敲docker run就等于用podman跑容器了。

  这个方案是真·无root运行，不用依赖sudo，也不用加任何组，安全性更高，还完美兼容现有使用习惯，我个人更推荐这个。

为啥Rootless Docker在CentOS 7装不上？ #

简单说就是CentOS 7的内核（3.10.x）太老了，rootless需要的user_namespaces特性虽然开了，但配套的工具（比如slirp4netns）得手动装，而且NIS用户的UID/GID映射因为本地文件没配置会失败，再加上CentOS 7的Docker版本偏旧，rootless模式的兼容性很差，折腾半天大概率还是用不了，不如直接换方案。

内容的提问来源于stack exchange，提问作者Sameer Atharkar