首頁  >  文章  >  運維  >  docker不能對什麼進行隔離

docker不能對什麼進行隔離

青灯夜游
青灯夜游原創
2022-02-21 16:17:373431瀏覽

docker無法對「硬碟I/O讀寫」進行隔離,但可以對檔案系統、網路(Network)、進程間的通訊、針對權限的使用者和使用者群組、進程內的PID和宿主機的PID、主機名稱與網域名稱等進行隔離。

docker不能對什麼進行隔離

本教學操作環境:linux5.9.8系統、docker-1.13.1版、Dell G3電腦。

Docker可以控制很多資源,目前還不能對「硬碟I/O讀寫」資源進行隔離。

硬碟I/O是指硬碟的輸入和輸出(Input和Output的縮寫)。就是發指令,從磁碟讀取某段磁區的內容。指令一般是通知磁碟開始扇區位置,然後給出需要從這個初始扇區往後讀取的連續扇區個數,同時給出動作是讀,還是寫。

對於磁碟I/O資源來說,考慮的參數是容量和讀寫速度,因此對容器的磁碟限制也應該從這兩個維度出發。目前Docker 支援對磁碟的讀寫速度進行限制,但是並沒有方法能限制容器能使用的磁碟容量(一旦磁碟 mount 到容器裡,容器就能夠使用磁碟的所有容量)。

那麼docker可以將哪些資源隔離?

Docker透過namespace實現了資源隔離,透過cgroups實現了資源限制,透過*寫入時複製機制(copy-on-write)*實現了高效的檔案操作。

namespace可以隔離哪些

  • 一個容器要想與其他容器互不干擾需要能夠做到:

  • 文件系統需要是被隔離的

  • 網路也是需要被隔離的

  • 進程間的通訊也要被隔離

################################### ######針對權限,使用者和使用者群組也需要隔離############進程內的PID也需要與宿主機器中的PID進行隔離######## ####容器也要有自己的主機名稱############有了以上的隔離,我們認為一個容器可以與宿主機和其他容器是隔離的。 ######推薦學習:《###docker影片教學###》###

以上是docker不能對什麼進行隔離的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn