docker容器透過什麼隔離

docker容器透過linux核心技術Namespace來實現隔離；「Linux Namespaces」機制提供了一個資源隔離方案，每個namespace下的資源對於其他namespace下的資源都是透明，不可見的，因此在作業系統層面看就會出現多個相同pid的進程。

本教學操作環境：linux7.3系統、docker19.03版、Dell G3電腦。

docker容器透過什麼隔離

Docker主要就是藉助 Linux 核心技術Namespace來做到隔離的，Linux Namespaces機制提供一個資源隔離方案。

PID,IPC,Network等系統資源不再是全域性的，而是屬於某個特定的Namespace。每個namespace下的資源對於其他namespace下的資源都是透明，不可見的。因此在作業系統層面上看，就會出現多個相同pid的進程。系統中可以同時存在兩個進程號為0,1,2的進程，由於屬於不同的namespace，所以它們之間並不衝突。而在使用者層面只能看到屬於使用者自己namespace下的資源，例如使用ps指令只能列出自己namespace下的進程。這樣每個namespace看上去就像一個單獨的Linux系統。

範例如下：進程隔離

#啟動一個容器

docker run -it -p 8080:8080 --name pai-sn pai-sn:snapshot /bin/bash

-it交互啟動，-p端口映射，–name 容器名稱後面是鏡像名稱，打開shell，啟動之後就進入了容器

查看進程

ps -ef

使用top指令查看進程資源

在宿主機檢視下目前執行容器的進程ps -ef|grep pai-sn

由此，我們可以知道docker run指令啟動的只是一個行程，它的pid是4677。而對於容器程式本身來說，它被隔離了，在容器內部都只能看到自己內部的進程。 Docker是藉助了Linux核心的Namespace技術來實現的。

檔案隔離

容器內部根目錄執行ls指令

容器內部已經包含了這些資料夾了

宿主機執行docker info 來看看我們的Docker 用到的檔案系統是什麼

Docker版本是20.10 .6，儲存驅動是overlay2,不同的儲存驅動程式在Docker 中表現不一樣，但是原理類似。

Docker檔案系統是透過mount去掛載的，執行docker ps命令器實例id

#執行docker inspect container_id | grep Mounts -A 20找到掛載在宿主機的目錄，查看目錄清單

發現這個和我們容器的目錄是一致的，我們在這個目錄下建立一個新的目錄，然後看看容器內部是不是會出現新的目錄。其實檔案的隔離，資源的隔離都是在新的命名空間下透過mount掛載的方式來隔離的。

推薦學習：《docker影片教學》

以上是docker容器透過什麼隔離的詳細內容。更多資訊請關注PHP中文網其他相關文章！