普通容器用内核提供的namespace和cgroup做资源限制和隔离（从机器上圈了一部分资源给容器用），在安全性上存在不足： 　　容器内的进程在宿主机上可以看到 　　容器和宿主机共用内核，可以对宿主机进行破坏 　　FC安全容器安全加固策略（核心是限制代码破坏范围）： 　　安全容器提供基于虚拟机级别的隔离 　　函数调度尽可能调度到同一台神龙服务器 　　加固安全策略：端口封禁、命令行封禁等 　　组件裁减：精简不必要驱动和内核接口，启动速度更快、资源占用更少 　　实例回收：销毁重建，避免残留/tmp目录、日志、环境变量、进程等