发布时间：2016-01-15 文章来源：DVBCN

 

    容器同时也成为实现安全改进目标的一大重要手段。Docker消除了“root权限”机制，转而为每套容器系统提供独立的主机资源完整访问能力，并将权限限制在一部分负责处理各用户群组主机的系统管理员手中。这种能力已经在今年11月17日推出的Docker1.9“实验”版中得以实现。

 

    Docker与CoreOS都具备镜像扫描功能，这意味着其能够对保存在公有hub当中的容器镜像进行扫描。这项扫描功能负责检查来自Linux贡献者或者其它库的可下载代码中的版本号，并检查各版本中是否存在已知安全漏洞。计算机可根据相关参考库完成安全检查，而无需由系统管理员以人工方式查看已被记录的安全漏洞及更新——这种作法往往会带来纰漏与失误。

 

    未来积极状况:多套容器能够被打包在同一虚拟机当中，从而保证其远离危害或者干扰。英特尔公司展示了其ClearContainer技术，即一套配备KVM虚拟机打包工具的容器系统——这一方面继承了容器机制既有优势的方案于今年5月在温哥华召开的OpenStack峰会上首次亮相。

 

    今年11月16日，VMware公司公布了其PhotonController，这是一套面向容器的服务发布方案，且具备一款ESX虚拟机microvisor打包工具。该microvisor要求用户必须通过特定网关实现打包内容访问，而该网关则包含30条虚拟机管理命令。如果没有该microvisor相匹配，容器内容亦可以通过LinuxSyscall界面中的392条命令进行访问——但这显然大大增加了攻击面。

 

    2015年年初时，市场上还不存在任何关于容器格式必要元素限定的标准。然而Docker的广泛普及已经使其成为客观层面上的标准，CoreOS则作为公共标准的一种衍生方案。CloudFoundry与二者相比较，则致力于建立起一套更为基本的通用性“Garden”方案。