如何保证容器本身的安全？

1. 从网络上需要做到 网络划分，需要将不同租户之间的网络进行隔离或者使用SR-IOV之类的网络虚拟技术
2. 存储加密，使用K8S CSI管理存储卷的生命周期，将用户与存储架构隔离。同时加密保护各个存储卷，防止不安全访问。

3.对于镜像安全，可以所以用Aqua、Sysdig等工具对正在构建的容器镜像进行漏洞、程序包以及依赖包的扫描
其次，应该又严格的准入控制策略，只允许通过组织签过名的镜像。
在运行中的容器可以使用AquaSysdig等工具进行事实监控预防威胁。