从理论上讲，Docker 的隔离性并没有那么强，因为系统的某些部分是共享的（内核是共享的，容器具有原始文件系统的 chroot 等）。但是，对于大多数用途来说，它已经足够好了。使用 chroot、cgroups 等，以及在非特权帐户下运行容器的能力（因此容器中的 root 仍然受限于主机），您可以充分锁定容器以用于大多数用途。

如果您真的想要 VM 级别的隔离，请使用 VM。根据用例，您可以在 VM 中启动和停止 Docker 容器。

不，Docker 在设计上不太安全，请查看https://security.stackexchange.com/a/148794/39716上的答案

操作系统级虚拟化重用虚拟机之间的内核空间，而内核是一段更复杂的代码，留下了更大的攻击面——基本上是相同的东西，使 docker 能够非常好地堆叠一堆资源有限的虚拟机在很小的内存中，它对 PCI DSS 用例的用处不大——内核重用。