Self-hosted GitLab Runnerで安全にdockerを扱えるようにするためにどうしたらいいかわからない

適当に検索すると、ホストへの特権昇格を許す設定ばかり見かける。自分だけしか使わないならば構わないかもしれないけれど、なんらかのCIを実行する権限さえあれば、ホストのroot権限をとれるというのは危険だと思う。（コードレビュー必須でPRではマージ済みのCIが実行されるならいいのか...？）

GitLabの公式Shared Runnerがやっているように、docker-machineを使うのがいいはず。おそらくdocker入りの仮想マシンをCIジョブごとに立てて、privilegedなコンテナからブレイクアウトしても仮想マシンの外に出られないようになっていると思う。 GitLabはいろいろオープンなので、実際のShared Runnerの構成・設定が公開されている。たいへん助かる。