Kann Docker Ressourcen isolieren?

Docker kann Ressourcen isolieren.

Das Wesentliche eines Docker-Containers ist ein Prozess auf dem Host.

Docker implementiert Ressourcenisolation durch Namespace, Ressourcenbeschränkung durch Kontrollgruppen und effiziente Dateioperationen durch *Copy-on-Write-Mechanismus*.

Der Namespace-Mechanismus bietet eine Lösung zur Ressourcenisolation.

PID, IPC, Netzwerk und andere Systemressourcen sind nicht mehr global, sondern gehören zu einem bestimmten Namespace.

Die Ressourcen unter jedem Namespace stehen in Beziehung zu den Ressourcen unter anderen Namespaces. Transparent und unsichtbar .

Einer der Hauptzwecke des Linux-Kernels, der den Namespace implementiert, besteht darin, leichtgewichtige Virtualisierungsdienste (Container) zu implementieren, die die Änderungen des anderen wahrnehmen können und nichts über externe Prozesse wissen.

Was durch Namespace isoliert werden kann:

Das Dateisystem muss isoliert werden

Das Netzwerk muss ebenfalls isoliert werden

Interprozesskommunikation Es muss ebenfalls isoliert werden

Bezüglich Berechtigungen müssen Benutzer und Benutzergruppen ebenfalls isoliert werden

Die PID im Prozess muss auch von der PID im Host isoliert werden

Container müssen außerdem einen eigenen Hostnamen haben

Mit der oben genannten Isolierung gehen wir davon aus, dass ein Container vom Host und anderen Containern isoliert werden kann.

Es kommt vor, dass der Linux-Namespace dies kann.

Weitere verwandte Tutorials finden Sie in der Spalte Docker-Tutorial auf der chinesischen PHP-Website.

Das obige ist der detaillierte Inhalt vonKann Docker Ressourcen isolieren?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!