Docker가 리소스를 격리할 수 있나요?

docker는 리소스를 격리할 수 있습니다.

도커 컨테이너의 핵심은 호스트에서의 프로세스입니다.

Docker는 네임스페이스를 통한 리소스 격리, cgroup을 통한 리소스 제한, *기록 중 복사*를 통한 효율적인 파일 작업을 구현합니다.

네임스페이스 메커니즘은 리소스 격리 솔루션을 제공합니다.

PID, IPC, 네트워크 및 기타 시스템 리소스는 더 이상 전역이 아니며 특정 네임스페이스에 속합니다.

각 네임스페이스 아래의 리소스는 투명하며 다른 네임스페이스 아래의 리소스에 표시되지 않습니다.

Linux 커널 구현 네임스페이스의 주요 목적 중 하나는 경량 가상화(컨테이너) 서비스를 구현하는 것입니다. 동일한 네임스페이스의 프로세스는 서로의 변경 사항을 인식하고 외부 프로세스에 대해 아무것도 알 수 없어 독립성과 격리 목적을 달성합니다.

네임스페이스로 격리할 수 있는 것:

파일 시스템을 격리해야 함

네트워크도 격리해야 함

프로세스 간 통신도 격리해야 함

권한을 위해 사용자 및 사용자 그룹도 격리해야 함 격리되어야 합니다

프로세스 내의 PID도 호스트의 PID와 격리되어야 합니다.

컨테이너에도 자체 호스트 이름이 있어야 합니다.

위의 격리를 통해 우리는 컨테이너가 호스트와 호스트에서 격리될 수 있다고 믿습니다. 다른 용기.

Linux 네임스페이스가 이를 수행할 수 있습니다.

더 많은 관련 튜토리얼을 보려면 PHP 중국어 웹사이트의 docker tutorial 칼럼을 주목하세요.

위 내용은 Docker가 리소스를 격리할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!