docker は何を分離できるのでしょうか?

Docker の分離では、主に名前空間テクノロジーが使用されます。

名前空間によって分離できるもの:

1. ファイル システムを分離する必要があります

2. ネットワークも分離する必要があります

3 . プロセス間の通信も分離する必要があります。

4. 権限に関しては、ユーザーとユーザー グループも分離する必要があります。

#5. プロセス内の PID も、プロセスから分離する必要があります。ホスト内の PID

名前空間を使用してコンテナーを分離することの欠点は何ですか?

最大の欠点は、隔離が完全ではないことです。

1) コンテナー ナレッジはホスト上で実行される特別なプロセスであるため、複数のコンテナーが同じホスト オペレーティング システム カーネルを使用します。

2) Linux カーネルには、名前空間を設定できないリソースやオブジェクトが多数あります。最も典型的な例は時間です。つまり、コンテナが時間を変更すると、ホスト全体の時間が変更されます。それに伴い修正を加えます。

3) コンテナによってアプリケーションにさらされる攻撃対象領域は比較的大きいため、運用環境では、物理マシン上で実行されている Linux コンテナをパブリック ネットワークに公開しようとする人は誰もいません。

その他の関連チュートリアルについては、PHP 中国語 Web サイトの

docker チュートリアル 列に注目してください。

以上がdocker は何を分離できるのでしょうか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。