Что такое rootless Docker и когда его использовать?

Rootless Docker запускает daemon и контейнеры от непривилегированного пользователя. Даже если атакующий вырвется из контейнера, он получит права обычного пользователя, не root. Идеален для shared систем и CI. Ограничения: нет host networking, некоторые volume операции сложнее, cgroups v2 требуется. Podman изначально rootless. В Kubernetes userns поддержка появилась в 1.25.