docker容器技術(shù)有哪些缺點(diǎn)？隨著日益完善的docker容器技術(shù)生態(tài)鏈，使得當(dāng)下企業(yè)逐漸實(shí)現(xiàn)容器化的業(yè)務(wù)部署，容器化已成為未來的發(fā)展趨勢。但Docker容器化并不是沒有缺點(diǎn)，還存在一些可優(yōu)化的地方。

成都創(chuàng)新互聯(lián)專注于德令哈企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計(jì),商城網(wǎng)站開發(fā)。德令哈網(wǎng)站建設(shè)公司,為德令哈等地區(qū)提供建站服務(wù)。全流程按需定制開發(fā)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

1.內(nèi)核漏洞

Docker內(nèi)核攻擊對于容器化環(huán)境來說可能是致命性的，因?yàn)槿萜髋c主機(jī)共享相同的系統(tǒng)內(nèi)核，因此單獨(dú)信任容器內(nèi)置保護(hù)機(jī)制是不夠的。

容器的隔離性使得某個(gè)應(yīng)用程序的漏洞不會(huì)直接影響到其他容器的應(yīng)用程序，但是漏洞可能會(huì)破壞與其他容器所共享的單一的操作系統(tǒng)，進(jìn)而影響機(jī)器上的其他容器。如果漏洞允許代碼執(zhí)行，那么它將在主機(jī)操作系統(tǒng)上執(zhí)行，而不是在容器內(nèi)執(zhí)行；如果此漏洞允許任意內(nèi)存訪問，則攻擊者可以更改或讀取任何其他容器的任何數(shù)據(jù)。

2.數(shù)據(jù)分離

在docker容器上，有一些非命名空間的資源：

SELinux
Cgroups
file systems under /sys, /proc/sys,
/proc/sysrq-trigger, /proc/irq, /proc/bus
/dev/mem, /dev/sd* file system
Kernel Modules

如果攻擊者可以利用當(dāng)中的任意一個(gè)元素，都將擁有主機(jī)系統(tǒng)的操作權(quán)限。

3.資源開銷

Docker由于宿主機(jī)上的所有容器是共享相同的內(nèi)核和相同的資源，如果對某些資源（CPU、內(nèi)存、磁盤等）的訪問不受限制，那么異常的容器將占用整個(gè)宿主機(jī)的資源，從而影響其他容器的運(yùn)行，影響應(yīng)用程序。

4.套接字問題

容器在默認(rèn)情況下都安裝了docker Unix套接字（/var/run/docker.sock），此套接字，可以關(guān)閉、啟動(dòng)或者創(chuàng)建新的鏡像。

當(dāng)你的容器啟動(dòng)并共享套接字的時(shí)候，你就給了容器操控宿主機(jī)的權(quán)限，它將可以啟動(dòng)或終止其它容器，在宿主機(jī)拖入或創(chuàng)建鏡像，甚至寫入到宿主機(jī)的文件系統(tǒng)。正確配置和保護(hù)，可以使用docker容器實(shí)現(xiàn)高級別的安全性，但它的安全性還是低于正確配置的VM。

雖然，Docker容器還不算完美，但是瑕不掩瑜，它使得業(yè)務(wù)的上云部署更快，資源利用更高。并且云服務(wù)商也在不斷完善Docker容器技術(shù)在云服務(wù)平臺(tái)的應(yīng)用。

創(chuàng)新互聯(lián)，作為業(yè)內(nèi)資深的專業(yè)云計(jì)算服務(wù)提供商、云安全服務(wù)提供商，致力于為廣大互聯(lián)網(wǎng)企業(yè)用戶和傳統(tǒng)行業(yè)的企業(yè)用戶提供云服務(wù)器，其產(chǎn)品具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。