在select应用程序容器解决scheme与操作系统容器解决scheme之间的一个决定点是安全性 我没有足够的知识能够比较和对比两者。 我认为他们是不同的,但是比另一个更开放?
从安全的angular度来看,在我看来,rkt也值得考虑。
例如,看看CoreOS对rkt与替代容器系统的比较有些自以为是的比较 。
正如他们指出的那样,docker现在正在使用containerd下的containerd,并且在容器的运行周围提供了大量的“东西” – 我倾向于认为extras可能比更多的准系统引入更多的攻击面(比如containerd )。
您还应该记住,通过适当强化的内核(例如PaX)和系统(例如seLinux)来增强您列出的解决scheme(如果不是全部的话)的安全性。