为什么Docker不支持多租户？

我在Docker上观看了这段YouTube视频,并在22:00发言人(Docker产品经理)说:

" 你可能在想'Docker不支持多租户'......你说得对! "

但从来没有解释为什么实际给出.所以我想知道:他的意思是什么？为什么Docker不支持多租户？!如果你谷歌"Docker多租户"你出乎意料地得不到任何东西!

多租户工具最常见的一个关键特征是每个租户之间的隔离.他们不应该能够看到或管理彼此的容器和/或数据.

docker-ce引擎是一个开箱即用的系统管理员级别工具.任何可以使用任意选项启动容器的人都可以在主机上进行root访问.有一些第三方工具,如twistlock,它们与authz插件接口连接,但它们只提供粗略的访问控制,允许或禁止每个人从一整类活动,如启动容器或查看日志.为用户提供对TLS端口或docker套接字的访问权限会导致用户被集中到一个类别中,对于连接到docker引擎的用户,没有组或名称空间的概念.

对于多租户,docker需要添加一种定义用户的方法,并将它们放在只允许对特定容器和卷进行操作的命名空间中,并限制允许突破容器的选项,如更改功能或任意安装来自主机的文件系统.Docker的企业产品UCP确实开始通过在对象上使用标签来添加这些功能,但我没有时间来评估这是否会提供完整的多租户解决方案.