docker可以隔离资源吗

docker可以隔离资源。

docker容器的本质是宿主机上的一个进程。

Docker通过namespace实现了资源隔离，通过cgroups实现了资源限制，通过*写时复制机制（copy-on-write）*实现了高效的文件操作。

namespace 机制提供一种资源隔离方案。

PID，IPC，Network等系统资源不再试全局性的，而是属于某个特定的Namespace.

每个namespace下的资源对于其他的namespace下的资源是透明的，不可见的。

Linux 内核实现namespace的一个主要目的就是实现轻量级虚拟化（容器）服务，在同一个namespace下的进程可以感知彼此的变化，而对外界的进程一无所知，以达到独立和隔离的目的。

namespace（命名空间）可以隔离哪些：

文件系统需要是被隔离的

网络也是需要被隔离的

进程间的通信也要被隔离

针对权限，用户和用户组也需要隔离

进程内的PID也需要与宿主机中的PID进行隔离

容器也要有自己的主机名

有了以上的隔离，我们认为一个容器可以与宿主机和其他容器是隔离开的。

恰巧Linux 的namespace可以做到这些。

更多相关教程，请关注PHP中文网docker教程栏目。

Atas ialah kandungan terperinci docker可以隔离资源吗. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!