Docker的隔离性主要运用Namespace 技术。
namespace(命名空间)可以隔离哪些:
1、文件系统需要是被隔离的
2、网络也是需要被隔离的
3、进程间的通信也要被隔离
4、针对权限,用户和用户组也需要隔离
5、进程内的PID也需要与宿主机中的PID进行隔离
使用Namespace进行容器的隔离有什么缺点呢?
最大的缺点就是隔离不彻底。
1)容器知识运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
2)在Linux内核中,有很多资源和对象是不能被Namespace化的,最典型的例子是:时间,即如果某个容器修改了时间,那整个宿主机的时间都会随之修改。
3)容器给应用暴露出来的攻击面比较大,在生产环境中,没有人敢把运行在物理机上的Linux容器暴露在公网上。
更多相关教程,请关注PHP中文网docker教程栏目。
Atas ialah kandungan terperinci docker可以隔离什么. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!