docker容器是否足够安全，可以与生产系统并排运行第三方不受信任的容器？

我们计划允许在与api交互的基础设施上执行第三方微服务代码。 停靠码头够安全吗？是否有跟踪容器消耗的资源（网络、ram、cpu）的解决方案

您可以安装（请参阅密码

tryportainer

）

但要真正隔离这些第三方微服务，您可以在基础设施上定义的自己的VM中运行它们。该虚拟机将运行docker守护程序和服务。只要VM可以访问API，这些微服务容器就可以正常工作，并且不会直接从基础架构中引导/访问任何内容。
您需要正确定义/调整VM的大小，以便为容器分配足够的资源以运行，每个容器都保证自己的资源。

Docker（17.03）是保护隔离进程的一个很好的工具。它使用内核名称空间、控制组和一些内核功能，以隔离在不同容器中运行的进程

但是，这些进程之间并不是100%孤立的，因为它们使用相同的内核资源。每一个进行IO调用的dockerize进程都会在一段时间内离开其孤立的环境，并进入一个共享环境，即内核。虽然您可以设置每个容器的限制，例如处理器的数量或它可能使用的RAM的数量，但您不能对所有内核资源设置限制

你可以阅读更多信息