容器有很多优点但它们是不是安全？（容器有很多优点但它们是不是安全的）

容器被誉为是将利用程序部署到服务器上的非常行之有效的的手段。容器(例如基于Docker开源标准的容器)比虚拟机消耗更少的资源，并且容器的设计更容易，且实例化和提供更快。

　　

　　但是，与虚拟机不同，容器其实不是100%与底层主机操作系统(通常是Linux或Window Server)或服务器上的驱动程序或其他利用程序隔离的。

　　虚拟机是一个完全的虚拟化服务器，经过被称为虚拟机管理程序的软件分配磁盘空间、处理器周期和I/O资源。在虚拟机中可以找到真实服务器上的所有内容：操作系统、装备驱动程序、利用程序、配置文件和网络连接。

　　换句话说，从底层起，是裸机、服务器的主机操作系统、管理程序，然后是一个或多个虚拟机，每一个虚拟机都有自己的操作系统、驱动程序和利用程序。

　　相比之下，容器中的所有内容都同享底层主机操作系统、装备驱动程序和一些配置文件。例如Docker，它提供一个或多个容器，而不是管理程序。每一个容器只保存利用程序。这些利用程序依赖于主机操作系统和驱动程序，它也与在同一台服务器上运行的其他容器同享。

　　容器的好处是：开消更小

　　如果在Linux服务器上有20台Linux虚拟机，则需要使用内存和CPU资源运行21个Linux实例，其中20个是虚拟机，另外一个运行主机。启动所有这些Linux实例需要一定的时间，并且开消很大。

　　另外一方面，所有这些Linux虚拟机都是相互隔离的，事实上，它们乃至多是不同版本的Linux.在VM模型中，这完全没问题。

　　相反，所不同的是，如果在Linux服务器上有20个容器，则只需要一个Linux副本运行。启动一个容器非常快，并且消耗的资源要少很多，只有一个Linux内核和一组同享库。

　　但是，一个容器中的出现安全问题可能会泄漏并作用其他容器或其利用程序。

　　虚拟机的好处：更强的隔离

　　现代微处理器、主机操作系统(Linux和Windows)和虚拟机管理程序(VMware ESX，Citrix XenServer和Microsoft Hyper-V)中的技术可在每一个虚拟机之间提供基于硬件的隔离。这类保护是同心环：每一个环都遭到较高编号的环的保护，其中0环位于中心，与利用隔离。

　　在虚拟机系统中，主机操作系统的内核在0环中运行，这意味着甚么都没法到达。管理程序在环1中运行。而单个虚拟机在环2中运行，因此没法访问环1内的管理程序或操作系统。

　　更重要的是，管理程序可使用它的环1权限来履行规则，避免一个VM访问另外一个VM的内存、利用程序或资源。

　　由于Docker Daemon不是环1管理程序，而是简单的环2利用程序，所以在容器中事物其实不是一样可靠的。因此，这种情况下，硬件中没有任何东西可以完全禁止一个容器对底层服务器进行更改，或访问其他容器的内存、存储或设置。虽然有软件保护，但它们并不是难以穿透。

　　如何保护容器

　　基于容器的服务器的安全性应视为合适“friends and family”：我们应当了解并信任在该服务器上运行的所有利用程序。

　　但是我们不需要知道或信任在服务器上运行的其他虚拟机上的利用程序，这就是为何云托管公司使用虚拟机而不是容器来隔离客户的软件和数据的缘由。

　　保护容器不容易遭到伤害，可以归结为以下几种常见方法。首先，最小化容器化软件的攻击面，以便在遭到攻击时，将数据泄漏的危险性降到最小。

　　另外一个是严格控制对容器的访问，并且如果有必要，需要在自己的服务器上隔离特别敏感的容器。

　　一定要研究使用的容器系统和底层主机操作系统。举例来看，那些在Red Hat Linux上运行的容器应当查看公司的“10层容器安全”文档。其他必读内容是Docker的“容器安全入门”和Microsoft的“在Azure容器服务中确保Docker容器安全”。

　　容器是将利用程序部署到云中的最快、最行之有效的的方式，并且比虚拟机的资源效力更高。至今为止的问题是容器不像虚拟机那样安全。但只要在使用容器的时候斟酌到这一点，你将能够得到更好的体验。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。