企业级AI应用开发：从技术选型到生产落地

　　普通容器用内核提供的namespace和cgroup做资源限制和隔离（从机器上圈了一部分资源给容器用），在安全性上存在不足：

　　容器内的进程在宿主机上可以看到

　　容器和宿主机共用内核，可以对宿主机进行破坏

　　FC安全容器安全加固策略（核心是限制代码破坏范围）：

　　安全容器提供基于虚拟机级别的隔离

　　函数调度尽可能调度到同一台神龙服务器

　　加固安全策略：端口封禁、命令行封禁等

　　组件裁减：精简不必要驱动和内核接口，启动速度更快、资源占用更少

　　实例回收：销毁重建，避免残留/tmp目录、日志、环境变量、进程等

点击复制链接查看完整PDF研报

阿里云计算 黛忻