Docker 原理新手指南：一文看懂 Docker 是什么?

Docker 本身能够管理单个容器。但随着您开始使用越来越多的容器和容器化应用，并把它们划分成数百个部分，很可能会导致管理和编排变得困难。最终，您需要后退一步，对容器实施分组，以便跨所有容器提供诸如网络、安全和遥测等服务。于是，Kubernetes 应运而生。

了解更多与 Kubernetes 容器编排有关的内容

使用 Docker，您将获得与传统 Linux 容器不同的类 UNIX 功能，包括可以随同应用一起，在容器中使用 cron 或 syslog 之类的进程。当然，在某些事情上面也存在一些限制，例如终止子进程之后，需要清理孙进程，而对于这类事情，传统 Linux 容器天生会处理。但我们可以在开始时修改配置文件和设置功能，从而消除这些顾虑，这些都是瑕不掩瑜的小问题。

在此之上，还有其他非命名空间的 Linux 子系统和设备，包括 SELinux、Cgroup 和 /dev/sd* 设备等。这意味着，如果攻击者控制了这些子系统，主机也将不保。为了保持轻量，主机与容器共享内核，也因此埋下了安全漏洞的隐患。在这一点上，它与虚拟机不同，后者更加严格地与主机系统保持隔离。

Docker 容器真的安全吗？

Docker 守护进程也可能成为安全隐患。为使用和运行 Docker 容器，您很可能需要使用 Docker 守护进程，来为容器提供持续运行时环境。Docker 守护进程需要根权限，所以我们需要特别留意谁可以访问该进程，以及进程驻留在哪个位置。例如，相比公共区域所用的守护进程（例如 Web 服务器），本地守护进程的受攻击面要小得多。

为 Docker 提供全新安全功能