您的位置:首页 > 技术中心 > 运维 >

docker可以隔离资源吗

时间:2020-04-01 13:13

docker可以隔离资源。

docker容器的本质是宿主机上的一个进程。

Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过*写时复制机制(copy-on-write)*实现了高效的文件操作。

namespace 机制提供一种资源隔离方案。

PID,IPC,Network等系统资源不再试全局性的,而是属于某个特定的Namespace.

每个namespace下的资源对于其他的namespace下的资源是透明的,不可见的。

Linux 内核实现namespace的一个主要目的就是实现轻量级虚拟化(容器)服务,在同一个namespace下的进程可以感知彼此的变化,而对外界的进程一无所知,以达到独立和隔离的目的。

namespace(命名空间)可以隔离哪些:

文件系统需要是被隔离的

网络也是需要被隔离的

进程间的通信也要被隔离

针对权限,用户和用户组也需要隔离

进程内的PID也需要与宿主机中的PID进行隔离

容器也要有自己的主机名

有了以上的隔离,我们认为一个容器可以与宿主机和其他容器是隔离开的。

恰巧Linux 的namespace可以做到这些。

更多相关教程,请关注PHP中文网docker教程栏目。

以上就是docker可以隔离资源吗的详细内容,更多请关注gxlcms其它相关文章!

热门排行

今日推荐

热门手游