Docker是一種流行的虛擬化技術，可以讓開發人員將應用程序打包為容器并運行在操作系統層面。然而，很多人誤以為Docker可以完全隔離應用程序，實際上這并不是整個真相。在下面的段落中，我們將探討Docker不能隔離哪些方面。

首先，Docker不能隔離內核。
事實上，Docker使用的是宿主機的內核，這意味著如果宿主機的內核存在漏洞，容器也會受到影響。雖然Docker在容器中創建了一個額外的文件系統，但是內核仍舊是共享的。因此，如果您希望更好的隔離，建議考慮使用虛擬機技術。
其次，Docker不能隔離共享內存和IPC。
在Docker容器中，進程仍然可以訪問共享內存和IPC（Inter-Process Communication）。如果應用程序并不受信任，那么它可以利用這些資源來攻擊其他容器或宿主機。因此，您需要謹慎處理并禁止應用程序訪問不必要的共享資源。
最后，Docker不能隔離權限。
在Docker容器中，應用程序的進程通常具有與其主機用戶相同的UID（User ID）。這意味著如果容器中的進程能夠以root權限運行，它可以訪問宿主機上的敏感信息。雖然Docker提供了各種選項來限制容器的權限，但是最好的做法是盡量避免使用root用戶運行容器中的進程。
總之，Docker是一項強大的技術，但是它并不能完全隔離應用程序。對于敏感性較高的應用程序，更好的選擇是使用虛擬機技術進行隔離。