docker的隔离与安全？

如果只是在 docker 环境下，在 openshift 中缺省条件下是不允许以root用户运行的，怕造成权限的泄露,openshift为了容器运行的安全，通过 scc 结合 os 层面的 selinux 去进行限制。

如果某些场景一定要再容器内布通过root权限，可以打开SCC限制，但建议通过sysdig进行一些audit,防止root用户在容器内部中进行一些非法操作。

Docker 因为 docker daemon 是需要基于 root 运行的，机制上很容易造成容器内进程发生权限逃逸，拿到宿主机的权限，另外 docker 机制不好的地方是所有的运行容器都是这个进程的子进程，如果有错误产生，就会有孤儿进程 . 正因为这个原因，在新的 openshift 4 版本中基于 podman 和 crio 的容器引擎，不需要后端运行 daemon 进程，通过 cri-o 或者是 podman 直接去构建 runc 的容器，构建和运行容器都不需要 root 权限，防止权限逃逸，具备了更多的安全性特征。