提取Docker.io映像的根文件系统并在chroot中使用它是安全的吗?

我最近发现了Docker,我认为这是一个pipe理我的运行时环境的好工具。 不过,我也有一些不支持LXC的OpenVZ VPS,因此我正在考虑使用docker export来导出映像的文件系统,将生成的tarball解压到VPS中的一个目录,然后chroot进入目录并运行图像中的服务。

这样做是否安全? Docker对其映像的文件系统做了哪些自定义设置(我可以.dockerinit在根目录中看到一个.dockerinit文件)? 这种方法的任何提示和陷阱?

主要风险是隔离。 如果您的OpenVZconfiguration正确并且保证了隔离,那么您就很好。

Docker不会对文件系统做任何修改。 在运行时,它将自己挂载为.dockerinit。 一旦容器启动,我们使用这个来设置用户/组和networking。

在将来的版本中,docker将支持不同的隔离后端,比如libvirt甚至chroot。 基础图像不会改变,所以在OpenVZ上使用Docker镜像没有任何问题。

    Interesting Posts

    docker容器内的debootstrap

    在docker中运行chroot

    Linux / Fedora沙盒过程和文件系统变化

    了解chroot

    容器中的共享库

    docker在内部是否使用像chroot,unshare,nsenter等的系统调用或lxc的包装