应用容器化中的安全？

从安全角度考虑，最好要求容器启动时的用户是非root用户。这个不是在宿主机上限制的，而是在制作应用镜像的时候配置的，所以控制权限在应用开发人员那里。建议非root用户启动容器的主要考虑是docker本身还是不间断的会出现一些bug或者漏洞，如果黑客登陆到容器里，又有root权限，可能会利用docker的漏洞搞破坏，危害到宿主机，进而威胁到宿主机上的其它应用。但是容器内禁止使用root，也会带来一些文件访问权限的问题。如果对企业内部容器平台的用户访问控制非常有信心，也即可以登陆容器的用户是可信的，并且是可以审计的，也可以考虑允许以root用户启动容器。