容器化是一种虚拟化，其中应用程序的所有组件都捆绑到一个容器映像中，并且可以在同一共享操作系统上的隔离用户空间中运行。容器重量轻、便携，并且非常有利于自动化。因此，容器化已成为各种用例的开发管道和应用程序基础设施的基石。了解什么是容器化以及如何安全地实施它，可以帮助您的组织实现技术堆栈的现代化和扩展。

容器化的工作原理是将特定应用程序的所有必需部分虚拟化为一个单元。在幕后，这意味着容器包括应用程序所需的所有二进制文件、库和配置。容器不包括虚拟化硬件或内核资源。

相反，容器在抽象资源的容器运行时平台“之上”运行。因为容器只包含应用程序的基本组件和依赖项而没有额外的膨胀，所以它们比虚拟机或裸机服务器等替代方案更快、更轻量级。它们还可以抽象出与在不同环境中运行相同应用程序相关的问题。如果你能提供底层的容器引擎，你就可以运行容器化的应用程序。

外行很容易对容器化（Docker等容器化软件支持的内容）和传统服务器虚拟化（HyperV和VMwareESXi等管理程序支持的内容）之间的区别感到困惑。简单来说，区别归结为：

服务器虚拟化是关于抽象硬件和运行操作系统。容器化是关于抽象操作系统并运行应用程序。它们都抽象出资源，容器化只是服务器虚拟化的另一个“升级”。事实上，容器化和服务器虚拟化并不相互排斥。您可以在部署在虚拟机中的容器引擎之上运行容器化应用程序。

为了更好地了解容器化究竟是如何工作的，让我们仔细看看所有部分——从硬件到容器化应用程序——是如何组合在一起的。

鉴于我们所知道的，我们可以看到容器化仅将应用程序需要的内容捆绑到一个单元中，并允许应用程序在容器引擎存在的任何地方运行。考虑到这一点，就很容易看出容器化的好处，其中包括：

了解容器化的好处很重要，但了解真实世界的用例可以让您将知识付诸实践。以下是一些流行的容器化用例示例：

Kubernetes也称为K8s，是一种流行的工具，可帮助扩展和管理容器部署。Docker或LXC等容器化软件缺乏编排更大容器部署的功能，而K8s填补了这一空白。虽然还有其他容器编排工具（如ApacheMesos和DockerSwarm），但K8s是迄今为止最受欢迎的。

当然，“管理”和“编排”是模糊的术语。那么，Kubernetes到底能做什么呢？让我们来看看：

你可能认为因为容器是隔离的，所以它们是“安全的”。不幸的是，事情并没有那么简单。虽然容器在用户空间中确实是相互隔离的，但错误配置、漏洞和恶意行为者都会构成威胁。简而言之：保护您的容器是必须的。

在容器化应用程序时，您必须考虑许多特定的容器安全注意事项。例如，持续监控容器注册表以发现新漏洞并利用容器防火墙是全面容器安全的重要方面。此外，必须保护运行容器引擎的主机操作系统。

当然，保护容器化应用程序意味着您还必须认真对待应用程序安全性(appsec)。这意味着要全面了解您的环境、创建安全配置文件、识别威胁并在适当时利用交互式应用程序安全测试(IAST)解决方案和Web应用程序防火墙(WAF)等工具。