AWS EC2容器服务是如何改善Docker安全性的？是否有应实施的额外安全措施以确保Docker的安全使用?

Docker是基于管理程序的虚拟机的一个替代品，它可实现应用程序跨平台的轻松迁移。它受到了广大开发运营专业人士的青睐，因为它可帮助他们轻松地把在Mac OS X平台上开发的应用程序移植到一个Linux生产服务器上。

但是，Docker的应用还有着一些安全性方面的问题。

AWS EC2容器服务是一个集群管理系统，它可简化Docker镜像在一组AWS实例上的使用。因为用户的应用程序将在EC2实例上运行，所以他们将获得对一般可用资源的所有安全控制。这是非常重要的，因为它确保了Docker当前版本的安全性有着明显的局限性。

Docker过程具有访问文件系统的根权限，而这有可能被用于危及在同一服务器上其他容器的正常运行。据相关报道，Docker的后续版本将在受限权限下运行。与此同时，AWS用户可充分利用这些安全性功能以减少此类风险。

AWS的虚拟私有云计算（VPC）可在AWS云计算内隔离计算和网络资源。云计算管理员们可以按实际需要创建多个虚拟私有云计算。在每一个云计算内，云计算管理员可以创建子网、定义IP地址以及配置路由器表和网关。管理员们可以在机器实例上设置额外的控制措施——例如安全组——以便于进一步限制对资源的访问。

管理员们也可以在专用实例上运行Docker。这些实例在相关硬件的VPC内运行，而这些硬件则只能由一个客户使用。请注意，对于这些专用实例是需要额外付费的。

其他的AWS安全控制措施还可被应用于运行Docker的实例。例如，可以使用安全组策略针对服务器流出流入流量控制规则。此外，还可将身份与访问管理角色分配给实例；这将允许实例来承担分配给角色的权限。同事，当使用角色时，就不必通过编程的方式把AWS访问密钥发送给实例；这将有助于减少暴露访问密钥的风险。

AWS EC2容器服务将有助于减少企业在AWS云计算中运行大量Docker实例的管理开销，但是这不会降低实例、子网以及虚拟私有云对正确配置和安全性的要求。