比如 mysql 类的数据库，可能需要一些数据库配置、初始化的工作，这些工作要在最终的 mysql 服务器运行之前解决。 此外，可能希望避免使用 root 用户去启动服务，从而提高安全性，而在启动服务前还需要 以 root 身份执行一些必要的准备工作，最后切换到服务用户身份启动服务。或者除了服务 外，其它命令依旧可以使用 root 身份执行，方便调试等。 这些准备工作是和容器 时，会自动随机映射 EXPOSE 的端口。 此外，在早期 Docker 版本中还有一个特殊的用处。以前所有容器都运行于默认桥接网络中， 因此所有容器互相之间都可以直接访问，这样存在一定的安全性问题。于是有了一个 Docker 引擎参数 --icc=false ，当指定该参数后，容器间将默认无法互访，除非互相间使用了 -- links 参数的容器才可以互通，并且只有镜像中 EXPOSE 务的各个节点中，大大降低了配置信息的管 理和分发难度。 管理配置信息 212 安全 评估 Docker 的安全性时，主要考虑三个方面: 由内核的命名空间和控制组机制提供的容器内在安全 Docker 程序（特别是服务端）本身的抗攻击性 内核安全性的加强机制对容器安全性的影响 安全 213 内核命名空间 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用

标准化开发测试和生产环境 Docker —— 从入门到实践 78 标准化开发测试和生产环境 评估 Docker 的安全性时，主要考虑三个方面: 由内核的名字空间和控制组机制提供的容器内在安全 Docker程序（特别是服务端）本身的抗攻击性 内核安全性的加强机制对容器安全性的影响 安全 Docker —— 从入门到实践 79 安全 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 当然，用户也可以根据自身需求 来为 Docker 容器启用额外的权限。 内核能力机制 Docker —— 从入门到实践 83 内核能力机制 除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例如： 在内核中启用 其它安全特性 总体来看，Docker 容器还是十分安全的，特别是在容器内不使用 root 权限来运行进程的话。 另外，用户可以使用现有工具，比如 Apparmor, SELinux, GRSEC 来增强安全性；甚至自己在内核中实现 更复杂的安全机制。 总结 Docker —— 从入门到实践 85 总结 使用 Dockerfile 可以允许用户创建自定义的镜像。 Dockerfile Docker