容器技术凭借着其轻量级的资源需求、快速部署和巨大的可扩展性优势吸引IT行业的重大关注。不过其中一种最流行的容器引擎是基于Linux平台的Docker，它正努力去解决一些重要的安全问题。

Docker的安全问题起源于容器实例之间隔离的缺失。从最简单的角度来看，每一个容器都共享同一个宿主OS内核，函数库和文件。如果一个恶意程序或者其他安全事故突破了其中一个容器而且访问到根OS，那么这个OS下面运行的所有容器都有可能受到危害。一个容器在运行的时候可以直接和宿主内核进行通信，而且Linux也不会对主要内核进行拆分子系统或者子设备，也不会去保护他们。这意味着如果你可以和内核或者设备进行通信的话，你就有可能危害整个系统。

尽管Docker承诺了未来会发布安全方面的改善，下面还是给大家介绍一些保护Hyper-V容器的策略。

1. 限制容器使用你了解和信任的机构的工具，避免使用任何你在Internet上找到的有趣的工具或者其他的东西。

2. 勤奋地测试和应用Linux补丁和安全更新。相信OS支持，就像Red Hat Enterprise Linux可以帮助你找到和修复漏洞一样。

3. 有可能地使用非root的身份来运行容器，而且一旦可以的话就去除root权限。不管怎样，都要想象容器中的root权限是和容器外的root权限是一样的。

Windows Server 2016中的Hyper-V容器使用了Hyper-V来首先创建一个VM作为隔离。一旦VM建立好了，可以安装Linux OS和Docker引擎来支持容器运行。这是一种嵌套虚拟化的方式。如果容器和之上的Linux OS受到危害，那么整个安全问题只会影响到Hyper-V VM内部。

虽然容器这个概念已经存在很多年了，但是Docker引擎引起了人们对这项技术的新的兴趣。微软希望它的Windows Server 2016使用原生的容器和嵌套虚拟化，把容器从Linux部署环境迁移到Windows的环境中。

Windows Server 2016也承诺引入合理化管理和改进容器实例间的隔离，帮助组织拥抱和扩张容器的部署。IT员工应该很快就可以在技术预览版本尝试Hyper-V容器，并且为采用Windows和Docker容器做好计划。