docker容器透過linux核心技術Namespace來實現隔離;「Linux Namespaces」機制提供了一個資源隔離方案,每個namespace下的資源對於其他namespace下的資源都是透明,不可見的,因此在作業系統層面看就會出現多個相同pid的進程。
本教學操作環境:linux7.3系統、docker19.03版、Dell G3電腦。
Docker主要就是藉助 Linux 核心技術Namespace來做到隔離的,Linux Namespaces機制提供一個資源隔離方案。
PID,IPC,Network等系統資源不再是全域性的,而是屬於某個特定的Namespace。每個namespace下的資源對於其他namespace下的資源都是透明,不可見的。因此在作業系統層面上看,就會出現多個相同pid的進程。系統中可以同時存在兩個進程號為0,1,2的進程,由於屬於不同的namespace,所以它們之間並不衝突。而在使用者層面只能看到屬於使用者自己namespace下的資源,例如使用ps指令只能列出自己namespace下的進程。這樣每個namespace看上去就像一個單獨的Linux系統。
範例如下:進程隔離
#啟動一個容器
docker run -it -p 8080:8080 --name pai-sn pai-sn:snapshot /bin/bash
-it交互啟動,-p端口映射,–name 容器名稱後面是鏡像名稱,打開shell,啟動之後就進入了容器
查看進程
ps -ef
使用top指令查看進程資源
在宿主機檢視下目前執行容器的進程ps -ef|grep pai-sn
由此,我們可以知道docker run指令啟動的只是一個行程,它的pid是4677。而對於容器程式本身來說,它被隔離了,在容器內部都只能看到自己內部的進程。 Docker是藉助了Linux核心的Namespace技術來實現的。
檔案隔離
容器內部根目錄執行ls指令
容器內部已經包含了這些資料夾了
宿主機執行docker info 來看看我們的Docker 用到的檔案系統是什麼
Docker版本是20.10 .6,儲存驅動是overlay2,不同的儲存驅動程式在Docker 中表現不一樣,但是原理類似。
Docker檔案系統是透過mount去掛載的,執行docker ps命令器實例id
#執行docker inspect container_id | grep Mounts -A 20找到掛載在宿主機的目錄,查看目錄清單
發現這個和我們容器的目錄是一致的,我們在這個目錄下建立一個新的目錄,然後看看容器內部是不是會出現新的目錄。其實檔案的隔離,資源的隔離都是在新的命名空間下透過mount掛載的方式來隔離的。
推薦學習:《docker影片教學》
以上是docker容器透過什麼隔離的詳細內容。更多資訊請關注PHP中文網其他相關文章!