本章小結
Docker 的安全性依賴於多層隔離機制的協同工作,同時需要使用者遵循最佳實踐。本章涵蓋的核心安全維度包括:
| 維度 | 關鍵措施 |
|---|---|
| 核心隔離 | Namespace 隔離程序/網路/檔案系統,Cgroups 限制資源使用 |
| 許可權控制 | 非 root 執行、--cap-drop ALL 最小能力集、--read-only 只讀根檔案系統 |
| 映象安全 | 使用可信基礎映象、定期掃描漏洞(Trivy / Snyk)、啟用 Sigstore / Notation / Registry 原生簽名驗證;DCT 僅作為遺留遷移物件 |
| 執行時防護 | Seccomp 系統呼叫過濾、AppArmor / SELinux 強制訪問控制 |
| 網路隔離 | 自定義 bridge 網路隔離容器通訊、限制容器對宿主機網路的訪問 |
總體來看,Docker 容器還是十分安全的,特別是在容器內不使用 root 許可權來執行程序的話。