Docker的安全性，Docker安全性

Docker的安全性，Docker安全性

现在讨论Docker安全性的话题颇多，主要集中在对使用容器方式的隔离性、攻击防护性等方面。

往往与虚拟机方式进行比较。

首先，从安全性上看，Docker容器的安全性比不上虚拟机，这点是毋庸置疑的。

容器内的应用可以直接访问到主机系统内核；而虚拟机中的应用首先要访问到虚拟机的操作系统，然后在经过hypervisor层才能访问到外部的系统。

而且，虚拟机方式在生产环境中经过诸多检验，更加成熟一些。

然而，从我的角度看，容器方式确实牺牲掉了部分的安全性，但却换来了高效性和灵活性。

且不说它的快速启动和关闭，以及对系统资源极少的需求。

光从内核机制上看，容器的安全性实际上完全依赖于内核。因此，一旦当内核发生问题时候，无论容器还是虚拟机都会出问题。

这个时候容器的优势就体现出来了，因为容器完全可以在正常运行中的同时，本地主机就可以给内核打上补丁或更换新内核。

另外，Linux的内核在安全性方面已经是十分成熟。下一步随着不必给容器分配root权限这方面的改进，Docker的安全问题将得到极大的缓解。

公认的话，是富豪即VOLVO。它的安全性非常全面，考虑的情况包括正撞、侧撞、侧翻、挤压和爆胎后汽车的运动状况还有被撞击者（路人）的保护情况，所以说富豪车是名副其实的安全车。其他很多车安全都是在1～2个方面，很多重视了乘员的保护就忽略了路人的保护，没有富豪全面。不过实际上没有最安全的车，只有最安全的驾驶习惯，你要是有心去撞的话，再安全的车你一样可以把它给撞个4分5裂。

而且现在安全不是完全取决与钢板的厚与薄的，对人的保护才是最重要的，所以现在的安全性是取决于汽车是否能在碰撞时有效地吸收碰撞能量而发生形变，不是光够硬就可以了。所以你别看有些车撞车后车头都缩进去了，可是它们的乘员未必会受到伤害，因为这个车鼻已经把所有的碰撞能量都吸收了。而你想想装甲车，钢板够厚了吧，撞起来没有变形，可是坐在里面的你就受不了，碰撞能量都被直接传递到乘员身上了。就像一个鸡蛋，分别装在铁盒里和海绵盒里往下扔，你说放在哪个盒子里的鸡蛋会碎？
 

在快速运行的情况下，遇到紧急情况，他的刹车性能就凸现出来了，我深有体会。