跟著Docker的崛起，Linux LXC以及其他的容器供給商已經多次提出了云計較容器技能對付企業應用是否具有足夠安詳性的問題。

雖然，這項新技能比傳統基于打點處許的虛擬機具有更低的實用性，這主要是因為這項技能自己仍然是相當的不成熟。然而，由于其機能方面的優勢是顯而易見的，因此業內對付容器技能的安詳性并未多做接頭。

什么是云計較容器?

容器技能在許多方面都差異于諸如VMware和VirtualBox這樣的技能。

首先，容器凡是有一個目標，那就是要托管一個網絡處事器或一個數據庫。從技能上講，容器與虛擬機之間的基礎區別在于虛擬機模仿虛擬硬件，它需要一個系統打點措施，因此它需要比云計較容器技能更多的磁盤空間和更強大的處理懲罰本領。這樣一來，云計較容器就成為了受云計較供給商安詳性措施看重的組件。譬喻，Docker就與所有的主要云計較處事供給商有著一個相助同伴干系，如亞馬遜、微軟以及谷歌等。

毫無疑問，容器技能長短常有用的，它可以或許提供更好的便攜性和定制化，同時淘汰資源耗損和本錢支出，可是與其他浩瀚"風行的"技能雷同，安詳性是阻礙其進一步成長的因素。

云計較容器技能的安詳性問題

容器技能的最大問題在于，它們缺少一個像虛擬機所擁有的安詳界線。從理論上來說，假如一名黑客可以或許在底層操縱系統中找到一個裂痕，那么他就同樣可以操作這個裂痕來得到會見容器的權限。反之的大概性也是理論上存在的，黑客可以找到容器的裂痕，進而操作它來得到會見底層處事器的權限。

更糟糕的是，Docker和其他的容器技能回收了一些可作為“root”超等用戶運行的成果(Docker暗示，在上個月宣布的1.8版本中已包辦理了root權限問題)。這個問題大概會對云計較供給商情況帶來更大的影響，我們可以想象：所有的云計較處事都通過容器舉辦陳設，而一名黑客可以或許打破一個容器，并會見溝通硬件上的其他容器。對付云計較供給商和云計較用戶來說，這個問題都有大概是劫難性的。所以，容器技能的陳設需要深思熟慮。

容器的另一個問題是實際的建設進程。譬喻，假如某一家企業建設了它本身的容器，那么其安詳性程度將起決于企業自己的本領;假如事戀人員沒有很好地開拓、掩護和打點它，那么容器大概就無法實現其預期效益——也許利用預制的容器大概會更好。可是，需要引起留意的是，假如企業需要從一個存儲庫中得到一個容器，它大概并不能確切地知道正在下載什么內容;譬喻，假如容器有一個記錄按鍵操縱的技能可將用戶名和暗碼上傳至長途處事器，那么會怎么樣?

這些安詳問題都是較為普遍存在的，因為業界對付容器安詳方面的研究還投入不多。另外，對付如何確保其安詳性也沒有一個明晰的指導意見。

簡樸而言，在業內把容器技能和虛擬機的安詳性劃上等號之前，照舊有許多事情要做的。可是，這項事情已經開始。Docker在2015年八月宣布了一個重大的安詳更新，個中就包羅了名為Docker 內容信任的新成果，這個新成果主要是通過為容器庫提供一個基于民眾密鑰的簽名機制來實現容器陳設的安詳性，從而在必然水平上緩解這一問題。

確保云計較容器安詳性的最佳實踐

假如某一家企業是從民眾庫中獲取Docker容器的，，那么它該當尋找那些由新的Docker內容信任系統簽名的Docker容器，以便于確保它下載的是一個正當的容器。其他需要留意的要害點包羅：確保禁用不需要的成果、確保只有受信任的用戶可以或許操縱節制容器的守護歷程。另外，還應啟用容器間的防火墻以限制差異容器之間的交互。

當容器技能變得越來越安詳時，它們將在大大都企業中占據一席之地。尺度陳設匹配容器化優勢將為業內用戶帶來便于陳設、較低的資源要求以及本錢低落等諸多長處。譬喻，想要陳設數據庫系統的IT團隊可以或許很容易地得到一個MySQL容器，而這個容器中已經籌備好了所有的必備組件，這樣就大大縮短了系統陳設所需的時間。對付容器技能來說， 最大概的應用場景將是成為虛擬機的共同腳色而不是代替它們。在企業陳設應用中，這兩種技能都有其駐足之所。

總之，容器是一個很好的技能，應思量將其納入貿易應用。共同虛擬機技能，它們可以或許節減時間和款子，可是它們的陳設卻是需要費一番考慮的，雖然其來歷也應是可信的。