无源集装箱

理想情况下，应由相应的容器运行时管理和运行容器，而没有root权限。这不是微不足道的，但在实现时，它会减少攻击表面并避免整个课程的安全问题，显着的特权升级在容器中。社区已经讨论过这一点无源集装箱有很长一段时间，它是开放集装箱运行时规范的一部分及其标准实现润，它的支撑在一起Kubernetes.。现在，Docker 19.03将无源容器引入实验特征。虽然功能齐全，但该功能尚不与其他几个功能（如CGroups资源控件）有效Apparmor.安全配置文件。