对docker隔离性的理解

一、关于docker的隔离,有很多文章都有介绍。但docker没有隔离什么呢?

           SELinux、 Cgroups以及/sys、/proc/sys、/dev/sd*等目录下的资源是与宿主机共用的,而且多个container与宿主机共用同一个内核。所以说docker是弱隔离,他没有隔离的那么彻底,但如果要隔离的彻底那就是VM了,而且如果dockers要想实现这些隔离就必然要牺牲一下现在轻量级的特性。


二、以下是我对docker的隔离性的理解

       docker 通过什么实现隔离呢?通过内核的namespace,包括进程、网络、进程间通信信号、文件系统、用户等,不同的docker使用不同的namespace.

     1、进程的namespace, docker container里运行的进程的父进程是这个docker container的进程。这样不同的container 之间进程就被隔离开了。

     2、网络的namespace ,每个container 都有自己的虚拟网络设备,IP地址,路由。

     3、进程间交互的namespace,每个container 内的进程可以实现进程进的信号、共享内存、消息队列的交互

     4、mnt的namespace ,不同的namespacer进程看到的文件结构是不同的

     5、UTS 的namespace ,不同的container 可以有自己的hostname和domainame

     6、用户的namespae,每个container可以有自己的用户和用户分组



你可能感兴趣的:(docker,隔离)