首頁 >運維 >Docker >docker容器透過什麼隔離

docker容器透過什麼隔離

WBOY
WBOY原創
2022-08-15 16:42:064698瀏覽

docker容器透過linux核心技術Namespace來實現隔離;「Linux Namespaces」機制提供了一個資源隔離方案,每個namespace下的資源對於其他namespace下的資源都是透明,不可見的,因此在作業系統層面看就會出現多個相同pid的進程。

docker容器透過什麼隔離

本教學操作環境:linux7.3系統、docker19.03版、Dell G3電腦。

docker容器透過什麼隔離

Docker主要就是藉助 Linux 核心技術Namespace來做到隔離的,Linux Namespaces機制提供一個資源隔離方案。

PID,IPC,Network等系統資源不再是全域性的,而是屬於某個特定的Namespace。每個namespace下的資源對於其他namespace下的資源都是透明,不可見的。因此在作業系統層面上看,就會出現多個相同pid的進程。系統中可以同時存在兩個進程號為0,1,2的進程,由於屬於不同的namespace,所以它們之間並不衝突。而在使用者層面只能看到屬於使用者自己namespace下的資源,例如使用ps指令只能列出自己namespace下的進程。這樣每個namespace看上去就像一個單獨的Linux系統。

docker容器透過什麼隔離

範例如下:進程隔離

#啟動一個容器

docker run -it -p 8080:8080 --name pai-sn pai-sn:snapshot /bin/bash

-it交互啟動,-p端口映射,–name 容器名稱後面是鏡像名稱,打開shell,啟動之後就進入了容器

查看進程

ps -ef

docker容器透過什麼隔離

使用top指令查看進程資源

docker容器透過什麼隔離

在宿主機檢視下目前執行容器的進程ps -ef|grep pai-sn

docker容器透過什麼隔離

由此,我們可以知道docker run指令啟動的只是一個行程,它的pid是4677。而對於容器程式本身來說,它被隔離了,在容器內部都只能看到自己內部的進程。 Docker是藉助了Linux核心的Namespace技術來實現的。

檔案隔離

容器內部根目錄執行ls指令

docker容器透過什麼隔離

容器內部已經包含了這些資料夾了

宿主機執行docker info 來看看我們的Docker 用到的檔案系統是什麼

docker容器透過什麼隔離

Docker版本是20.10 .6,儲存驅動是overlay2,不同的儲存驅動程式在Docker 中表現不一樣,但是原理類似。

Docker檔案系統是透過mount去掛載的,執行docker ps命令器實例id

docker容器透過什麼隔離

#執行docker inspect container_id | grep Mounts -A 20找到掛載在宿主機的目錄,查看目錄清單

docker容器透過什麼隔離

發現這個和我們容器的目錄是一致的,我們在這個目錄下建立一個新的目錄,然後看看容器內部是不是會出現新的目錄。其實檔案的隔離,資源的隔離都是在新的命名空間下透過mount掛載的方式來隔離的。

推薦學習:《docker影片教學

以上是docker容器透過什麼隔離的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn