Docker はリソースを分離できますか?

Docker はリソースを分離できます。

Docker コンテナの本質はホスト上のプロセスです。

Docker は、名前空間によるリソースの分離、cgroup によるリソースの制限、*コピーオンライト メカニズム*による効率的なファイル操作を実装しています。

名前空間メカニズムは、リソース分離ソリューションを提供します。

PID、IPC、ネットワーク、およびその他のシステム リソースはグローバルではなくなりましたが、特定の名前空間に属します。

各名前空間の下のリソースは、他の名前空間の下のリソースに関連付けられます。透明、非表示。

Linux カーネル実装名前空間の主な目的の 1 つは、軽量の仮想化 (コンテナ) サービスを実装することです。同じ名前空間内のプロセスは、互いの変更を認識でき、外部プロセスについては何も知りません。独立性と分離を実現するためです。

名前空間によって分離できるもの:

ファイル システムも分離する必要があります

ネットワークも分離する必要があります

プロセス間通信も分離する必要があります

権限については、ユーザーとユーザー グループも分離する必要があります

プロセス内の PID もホスト内の PID から分離する必要があります

コンテナには独自のホスト名も必要です。

上記の分離により、コンテナはホストや他のコンテナから分離できると考えられます。

Linux 名前空間ではこれが可能です。

その他の関連チュートリアルについては、PHP 中国語 Web サイトの docker チュートリアル 列に注目してください。

以上がDocker はリソースを分離できますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。