Que peut isoler Docker ?

L'isolation de Docker utilise principalement la technologie Namespace.

Ce qui peut être isolé par espace de noms :

1. Le système de fichiers doit être isolé

2. Le réseau doit également être isolé

3. . La communication entre les processus doit également être isolée

4. Concernant les autorisations, les utilisateurs et les groupes d'utilisateurs doivent également être isolés

5. Le PID au sein du processus doit également être isolé du PID. dans l'hôte

Quels sont les inconvénients de l'utilisation de Namespace pour isoler les conteneurs ?

Le plus gros inconvénient est que l’isolement n’est pas complet.

1) La connaissance des conteneurs est un processus spécial exécuté sur l'hôte, de sorte que le noyau du système d'exploitation du même hôte est utilisé entre plusieurs conteneurs.

2) Dans le noyau Linux, il existe de nombreuses ressources et objets qui ne peuvent pas être placés dans un espace de noms. L'exemple le plus typique est : l'heure, c'est-à-dire que si un conteneur modifie l'heure, l'heure de l'hôte entier changera. en conséquence.

3) La surface d'attaque exposée par les conteneurs aux applications est relativement importante Dans un environnement de production, personne n'ose exposer les conteneurs Linux exécutés sur des machines physiques au réseau public.

Pour plus de tutoriels connexes, veuillez faire attention à la colonne Tutoriel Docker sur le site Web PHP chinois.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!