命名空间机制将可以实现使用非 root 用户来运行全功能的容器。这将从根 本上解决了容器和主机之间共享文件系统而引起的安全问题。 终极目标是改进 2 个重要的安全特性： 将容器的 root 用户映射到本地主机上的非 root 用户，减轻容器和主机之间因权限提升而 引起的安全问题； 允许 Docker 服务端在非 root 权限下运行，利用安全可靠的子进程来代理执行需要特权 权限的操作。这些

认证）下的访问可以进行。此外，还可以使用 HTTPS 和证书来加强 保护。 最近改进的 Linux 名字空间机制将可以实现使用非 root 用户来运行全功能的容器。这将从根本上解决了容 器和主机之间共享文件系统而引起的安全问题。 终极目标是改进 2 个重要的安全特性： 将容器的 root 用户映射到本地主机上的非 root 用户，减轻容器和主机之间因权限提升而引起的安全问 题； 允许 Docker 服务端在非 root