Docker peut-il isoler les ressources ?

Docker peut isoler les ressources.

L'essence d'un conteneur Docker est un processus sur l'hôte.

Docker implémente l'isolation des ressources via un espace de noms, une limitation des ressources via des groupes de contrôle et des opérations de fichiers efficaces via un *mécanisme de copie sur écriture*.

Le mécanisme d'espace de noms fournit une solution d'isolation des ressources.

Les ressources PID, IPC, réseau et autres ressources système ne sont plus globales, mais appartiennent à un espace de noms spécifique.

Les ressources sous chaque espace de noms sont liées aux ressources sous d'autres espaces de noms Transparentes, invisibles. .

L'un des principaux objectifs de l'espace de noms implémentant le noyau Linux est d'implémenter des services de virtualisation légers (conteneur). Les processus dans le même espace de noms peuvent percevoir les changements les uns des autres et ne rien savoir des processus externes pour atteindre l'indépendance et l'isolement.

Ce qui peut être isolé par espace de noms :

Le système de fichiers doit être isolé

Le réseau doit également être isolé

La communication inter-processus doit également être isolé

Concernant les autorisations, les utilisateurs et les groupes d'utilisateurs doivent également être isolés

Le PID dans le processus doit également être isolé du PID dans l'hôte

Les conteneurs doivent également avoir leur propre nom d'hôte

Avec l'isolation ci-dessus, nous pensons qu'un conteneur peut être isolé de l'hôte et des autres conteneurs.

Il arrive que l'espace de noms Linux puisse faire cela.

Pour plus de tutoriels connexes, veuillez faire attention à la colonne Tutoriel Docker sur le site Web PHP chinois.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!