Desde hace un tiempo ha subido como la espuma la fama de docker y aunque sí que tiene utilidad en determinados grupos de desarrollo no lo consideraría un sistema robusto para entornos en producción (visto desde la parte del administrador de sistemas).
Docker es un sistema que encapsula aplicaciones dentro de contenedores «cgroups» y «namespaces» con algún añadido más (red, pid 1, etc…). No es un invento novedoso, aunque sí reciente por usar cgroups que es bastante nuevo, pero no aporta nada nuevo frente a openVZ o LXC.
Docker ha nacido con una gran base social, hay máquinas virtuales base que la gente va añadiendo Dockerfiles para añadir software extra, por ejemplo el típico Apache, MySQL, PHP, y aquí viene el primer fallo gordo, la seguridad de lo que hay dentro de la imagen recae en dos sistemas:
- Firma de las imágenes y descarga por canal seguro (nada que objetar)
- Cuando no es oficial, tienes un número de estrellitas de la reputación del creador… WTF!!!
Todo lo que se ejecuta está dentro de un entorno cerrado y que no se puede escapar del contenedor, pero estamos descargando a ciegas un sistema operativo y varios servicios que pueden hacer cosas bastante peligrosas (zombies spammer, puertas traseras, etc…) y que el contenido del tar.gz de la imagen puede que no coincida con el dockerfile publicado.
Otro de los inconvenientes que le veo son las actualizaciones. Está muy bien que durante el proceso de desarrollo y primeros despliegues se usen contenedores con «todo incluido» pero una vez desplegado o se automatizan las actualizaciones o se tendrán un montón de máquinas con software obsoleto y probablemente inseguro.