Docker系统的部署，从网络和安全角度如何进行设计和评估？

网络方案：

1.Nat 原生就支持了，需要做端口转发，规模大的话需要做优化，并且需要做端口管理，大规模上的话网络性能是瓶颈。

2.Overlay 性能损耗太大据测算有75%的损耗，底层环境已经是IaaS如果再用overlay的话，就是没事给自己找事做。

3.Calico 性能有一点损耗，需要有对网络比较懂的同学，不出问题还好，如果出问题要排查iptalbe规则的时候，你肯定回去奔溃。

4.自主研发 自己研发可以和现有公司的网络环境进行对接，不仅可以保证网络的性能，还方便管理和维护。在网络方案上优先选择稳定、简单易维护、高性能的方案。

安全方案：

希云cSphere是做容器私有云的厂商，一般情况都是在企业内网，所以安全相对要好很多，但安全也很重要。常见的场景是不同应用部署到同一台服务器中，如果实现隔离，因为容器就是进程，在进程中实现隔离从技术角度考虑就不好实现，我推荐客户使用虚拟机来实现多租户以及底层资源的隔离。网络的隔离，使用vlan或者vpc网络。用户的安全隔离，粒度放到主机层面。安全也需要讲究简单有效，不能一味最求技术，完全靠技术来保证安全也不靠谱，还是要用最直接有效的方法才踏实。

希望能帮助到您。