¿Docker proporciona el mismo nivel de seguridad / aislamiento que una máquina virtual que se ejecuta sobre un hipervisor? Si no, ¿cómo se puede lograr eso?
¿Docker proporciona el mismo nivel de seguridad / aislamiento que una máquina virtual que se ejecuta sobre un hipervisor? Si no, ¿cómo se puede lograr eso?
Teóricamente, el aislamiento de Docker no es tan fuerte, porque se comparten partes del sistema (el kernel es compartido, el contenedor tiene un chroot del sistema de archivos original, etc.). Sin embargo, para la mayoría de los propósitos es lo suficientemente bueno. Con chroot, cgroups, etc., y la capacidad de ejecutar contenedores en una cuenta sin privilegios (por lo que la raíz en el contenedor todavía está limitada en el host), puede bloquear el contenedor lo suficiente para la mayoría de los usos.
Si realmente desea un aislamiento de nivel de máquina virtual, use una máquina virtual. Dependiendo del caso de uso, puede iniciar y detener los contenedores de Docker dentro de una máquina virtual.
No, Docker es menos seguro por su diseño, verifique la respuesta en enlace
La virtualización a nivel de sistema operativo reutiliza el espacio del kernel entre las máquinas virtuales, y el kernel es una pieza de código mucho más complicada, dejando una superficie de ataque MUCHO más grande, básicamente lo mismo que hace que la ventana acoplable sea muy agradable para apilar un montón de máquinas virtuales con recursos limitados en un poco de memoria es lo que lo hace menos útil para el caso de uso de PCI DSS: reutilización del kernel.
Lea otras preguntas en las etiquetas virtualization docker kvm