2006 年，内核从 2.6.24 版本开始被引入。 控制组 215 Docker服务端的防护 运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权 限，因此其安全性十分关键。 首先，确保只有可信的用户才可以访问 Docker 服务。Docker 允许用户在主机和容器间共享 文件夹，同时不需要限制容器的访问权限，这就容易让容器突破资源限制。例如，恶意用户 Docker 将新容器放到隔离的网络栈中，但是不进行网络配置。之后，用 户可以自己进行配置。 网络配置细节 用户使用 --net=none 后，可以自行配置网络，让容器达到跟平常一样具有访问网络的权 限。通过这个过程，可以了解 Docker 配置网络的细节。 首先，启动一个 /bin/bash 容器，指定 --net=none 参数。 $ docker run -i -t --rm

隔离的名字空间中运行。大家虽然都共用一个内核和某些运行时环境（例如一些系统命令和系统库），但 是彼此却看不到，都以为系统中只有自己的存在。这种机制就是容器（Container），利用名字空间来做权 限的隔离控制，利用 cgroups 来做资源分配。 底层实现 Docker —— 从入门到实践 93 底层实现 Docker 采用了 C/S架构，包括客户端和服务端。 Docker daemon