Проблема: Многие считают Docker достаточным для продакшена, игнорируя необходимость оркестрации. Это приводит к ручному управлению, отсутствию автоматического восстановления и масштабирования, уязвимости в сетевой изоляции и конфиденциальности.

Причины:
- Docker управляет одним контейнером; Kubernetes (K8s) управляет группами контейнеров (подами) на кластере узлов.
- Без K8s невозможно автоматическое масштабирование (HPA), распределение нагрузки (Service/Ingress), rolling update, self-healing.
- С точки зрения безопасности: Docker не предоставляет RBAC, готовых NetworkPolicy для микросегментации, централизованного управления секретами (Sealed Secrets/External Secrets), аудита событий кластера через API.
- Kubernetes встраивает PodSecurityPolicy (или Pod Security Admission), позволяет изолировать рабочие нагрузки на уровне namespace, использовать ServiceAccount для аутентификации внутри кластера, шифровать etcd, настраивать OPA/Gatekeeper для политик.

Решение:
- Используйте Docker только для локальной разработки, тестирования, единичных контейнеров.
- Для продакшена с несколькими микросервисами, требованиями SLA, CI/CD и безопасностью — внедряйте Kubernetes (kubeadm, managed K8s).
- Пример: разверните минимальный кластер (minikube для обучения) и сравните `docker run -d nginx` vs `kubectl create deployment nginx --image=nginx; kubectl expose deployment nginx --port=80`.
- Для пентеста: проверяйте конфигурацию K8s: RBAC, Pod Security Admission, сетевые политики, отсутствие привилегированных контейнеров, использование Secrets (не переменные окружения в plain text).