容器环境搭建使用物理服务器+OS方式还是虚拟层+OS方式，各自优缺点？

一些摘录的看法，希望大咖们补充

好处1：由于是操作系统层面的轻量级虚拟化，容器安全性一直是用户非常关心的问题，也制约着容器技术的发展。容器安全性问题以“容器逃逸”问题最有名，也就是黑客是可以通过容器的一些漏洞渗透到运行容器所在的宿主机上，对宿主机上的其他容器以及宿主机本身都造成巨大的威胁。在容器安全性问题没有得到有效解决前，将容器运行在虚拟机上，利用虚拟机的强隔离性，可以加固容器的安全性。

好处2：由于容器是轻量级虚拟化，所有容器共享宿主机的内核，宿主机上一个容器的运行异常和故障，很有可能导致宿主机内核的crash，从而影响宿主机上其他容器的正常运行；因此，将容器运行在云主机中，尽可能少的容器共享同一个内核，可以实现故障的隔离，提高系统稳定性；

好处3：由于容器运行在云主机中，我们可以大胆把一些系统的能力如设置iptables的能力开发给用户，而不用担心开放这些能力会对宿主机系统造成很大的影响。这可以使得用户得到更多的功能，对容器具有更强的掌控；