Docker offre lo stesso livello di sicurezza / isolamento di una macchina virtuale in esecuzione su un hypervisor? In caso contrario, come si può ottenere?
Docker offre lo stesso livello di sicurezza / isolamento di una macchina virtuale in esecuzione su un hypervisor? In caso contrario, come si può ottenere?
Teoricamente, l'isolamento di Docker non è così strong, perché parti del sistema sono condivise (il kernel è condiviso, il contenitore ha un chroot del filesystem originale, ecc.). Tuttavia, per la maggior parte degli scopi è abbastanza buono. Con chroot, cgroups, ecc. E la possibilità di eseguire contenitori con un account non privilegiato (quindi la root nel contenitore è ancora limitata sull'host), è possibile bloccare il contenitore in modo sufficiente per la maggior parte degli usi.
Se si desidera realmente l'isolamento a livello di VM, utilizzare una VM. A seconda del caso d'uso, è possibile avviare e arrestare i contenitori Docker all'interno di una VM.
No, Docker è meno sicuro in fase di progettazione, controlla la risposta su link
OS-level virtualization reuses the kernel-space between virtual machines, and kernel is a much more complicated piece of code, leaving a MUCH larger attack surface - basically the same thing that makes docker super-nice to stack a bunch of VMs with limited resources in a tiny bit of memory is what makes it less useful for the PCI DSS use case - kernel reuse.
Leggi altre domande sui tag docker virtualization kvm