O objetivo principal não é o isolamento, mas a facilidade de implantação…
Você não precisa isolar o contêiner; você pode executá-lo em uma bridge roteada ou em uma bridge que tenha uma porta pertencente à sua rede interna. O primeiro é como o executamos em produção - veja aqui um vídeo de @mpalmer que explica como funciona.
Se alguém realmente quiser fazer isso, pode seguir os mesmos passos dados pelo próprio Dockerfile para obter as versões corretas de todas as ferramentas usadas pela imagem suportada.
Não temos um guia, pois isso exigiria que alguém o mantivesse, e a VASTA maioria das pessoas que querem isso tem:
- pouca experiência com servidores
- conhecimento suficiente para pegar o que fornecemos e adaptá-lo às suas necessidades
Por exemplo, sei que há pessoas por aí que usam o launcher para construir uma imagem que é implantada por meio de suas próprias ferramentas (seja lxc, kubernetes, o que for) e isso funciona para elas.
Tentar suportar (gratuitamente) todos que usam sua própria instalação personalizada de um software complicado seria um pesadelo.
Docker é um meio-termo. Nosso sistema não é perfeito; ele cresceu um pouco ao longo do tempo e certamente sentimos a dor de alguma refatoração atrasada. Criamos o launcher antes mesmo de o docker-compose existir.
Pretendemos refatorá-lo e/ou migrar para o docker-compose, mas isso não é uma prioridade no momento.