docker集装箱是否足够安全地与生产系统并排运行第三方不受信任的集装箱?
我们计划允许在我们的基础设施上与我们的API进行交互的第三方微服务代码的执行。 docker安装是否足够安全? 跟踪资源(networking,RAM,CPU)容器消耗的解决scheme吗?
您可以安装portainer.io (请参阅其演示 ,密码tryportainer )
但要真正隔离这些第三方微服务,您可以在您的基础设施上定义的自己的VM中运行它们。 该VM将运行一个docker守护程序和服务。 只要虚拟机可以访问API,这些微服务容器就可以很好地工作,不会直接从基础设施访问任何东西。
您需要正确定义/调整VM的大小,以便为容器运行分配足够的资源,每个容器确保自己的资源隔离 。
Docker(17.03)是保护隔离进程的绝佳工具。 它使用内核名称空间 , 控制组和一些内核function来隔离在不同容器中运行的进程。
但是,这些进程并不是完全隔离的,因为它们使用相同的内核资源。 每一个进行IO调用的dockerize进程都会在这段时间内离开其独立的环境,并进入一个共享的环境,即内核。 尽pipe您可以为每个容器设置限制,例如可以使用多less处理器或多less内存,但不能对所有内核资源设置限制。
你可以阅读这篇文章的更多信息。