私たちは、私たちのAPIと相互作用する私たちのインフラストラクチャで第三者のマイクロサービスコードの実行を許可する予定です。 ドッキングは十分安全ですか?リソース(ネットワーク、RAM、CPU)のコンテナ消費を追跡するソリューションはありますか?あなたはportainer.io(its demo、パスワードtryportainerを参照してください)ドッキング用のコンテナは、サードパーティの信頼されていないコンテナを本稼動システムと並べて実行するのに十分安全ですか?
をインストールすることができます。しかし、本当にこれらのサードパーティ製のマイクロサービスを隔離する
、あなたはあなたのインフラストラクチャ上で定義された、独自のVMでそれらを実行することができます。そのVMはドッカーデーモンとサービスを実行します。 VMがAPIにアクセスできる限り、これらのマイクロサービスコンテナは正常に動作し、インフラストラクチャから直接アクセスすることはできません。
コンテナを実行するのに十分なリソースを割り当てるためには、VMを正しく定義/サイズする必要があります。それぞれのリソースは、自分自身のresource isolationを保証します。
Docker(17.03)は、隔離プロセスを保護するための優れたツールです。さまざまなコンテナで実行されるプロセスを分離するために、カーネルネームスペース,コントロールグループおよび一部のカーネル機能を使用します。
しかし、それらのプロセスは同じカーネルを使用しているので、互いに100%隔離されていません。IO呼び出しを行うすべてのドッキングプロセスは、その孤立した環境の期間中、共有環境、つまりカーネルに入ります。コンテナあたりの制限を設定することはできますが、プロセッサーやRAMの使用量などは、すべてのカーネルリソースに制限を設定することはできません。
詳しくはthis articleをご覧ください。