当Docker启动一个容器时,将会在后台为容器创建一个独立的命名空间。

Linux内核从2.6.15版本(2008年7月发布)开始引入命名空间,现已应用于诸多大型生产系统。

与虚拟机方式相比,通过命名空间实现的隔离并不是绝对的。运行在容器中的应用可以直接访问系统内核和部分系统文件,因此,用户必须保证容器中的应用是安全可信的,否则本地系统将可能受到威胁。

而Docker自1.3开始对镜像管理引入签名系统,用户可以通过签名验证镜像的完整性和正确性。

results matching ""

    No results matching ""