Docker fornisce la stessa sicurezza di un vm [duplicato]

9

Docker offre lo stesso livello di sicurezza / isolamento di una macchina virtuale in esecuzione su un hypervisor? In caso contrario, come si può ottenere?

    
posta Ijaz Ahmad Khan 12.01.2016 - 22:39
fonte

2 risposte

10

Teoricamente, l'isolamento di Docker non è così strong, perché parti del sistema sono condivise (il kernel è condiviso, il contenitore ha un chroot del filesystem originale, ecc.). Tuttavia, per la maggior parte degli scopi è abbastanza buono. Con chroot, cgroups, ecc. E la possibilità di eseguire contenitori con un account non privilegiato (quindi la root nel contenitore è ancora limitata sull'host), è possibile bloccare il contenitore in modo sufficiente per la maggior parte degli usi.

Se si desidera realmente l'isolamento a livello di VM, utilizzare una VM. A seconda del caso d'uso, è possibile avviare e arrestare i contenitori Docker all'interno di una VM.

    
risposta data 13.01.2016 - 00:11
fonte
1

No, Docker è meno sicuro in fase di progettazione, controlla la risposta su link

OS-level virtualization reuses the kernel-space between virtual machines, and kernel is a much more complicated piece of code, leaving a MUCH larger attack surface - basically the same thing that makes docker super-nice to stack a bunch of VMs with limited resources in a tiny bit of memory is what makes it less useful for the PCI DSS use case - kernel reuse.

    
risposta data 19.01.2017 - 13:44
fonte

Leggi altre domande sui tag