19.7　本章小结

总体来看，基于Linux上成熟的安全机制以及结合Apparmor、SELinux、GRSEC等安全机制，可以很好地保证Docker容器的安全。

但是任何技术层面实现的安全，都需要合理的使用才能得到巩固，特别是对于生产系统，可能遭遇未知的安全风险，一定要配合完善的监控系统来加强管理。

在使用Docker过程中，对于安全问题需要注意如下几方面：

·在使用Docker容器运行应用的时候，一定要牢记容器自身所提供的隔离性其实并没有那么完善，需要加强对容器内应用的安全审查。要时刻牢记，容器即应用，原先保障应用安全的各种手段，都可以合理地借鉴利用。

·采用专用的服务器来运行Docker服务端和相关的管理服务，如ssh监控和进程监控、管理工具nrpe、collectd等，并对该服务器启用最高级别的安全机制，而把其他业务服务都放到容器中去运行。

·将运行Docker容器的机器划分为不同的组，互相信任的机器放到同一个组内；组之间进行安全隔离；同时进行定期的安全检查。

·随着容器大规模地使用和集成，甚至组成容器集群。需要考虑在容器网络上进行必备的安全防护，避免诸如DDoS、ARP攻击、规则表攻击等网络安全威胁，这也是生产环境需要关注的重要问题。