Was kann Docker isolieren?

Die Isolierung von Docker nutzt hauptsächlich die Namespace-Technologie.

Was nach Namespace isoliert werden kann:

1 Das Dateisystem muss isoliert werden

2 Das Netzwerk muss ebenfalls isoliert werden

. Die Kommunikation zwischen Prozessen muss ebenfalls isoliert werden

4. Benutzer und Benutzergruppen müssen auch für Berechtigungen isoliert werden

5. Die PID innerhalb des Prozesses muss auch von der PID in isoliert werden der Host

Welche Nachteile hat die Verwendung von Namespace zum Isolieren von Containern?

Der größte Nachteil ist, dass die Isolierung nicht vollständig ist.

1) Containerwissen ist ein spezieller Prozess, der auf dem Host ausgeführt wird, sodass der Betriebssystemkernel desselben Hosts zwischen mehreren Containern verwendet wird.

2) Im Linux-Kernel gibt es viele Ressourcen und Objekte, denen kein Namespace zugewiesen werden kann. Das typischste Beispiel ist: Zeit, das heißt, wenn ein Container die Zeit ändert, ändert sich die Zeit des gesamten Hosts entsprechend.

3) Die Angriffsfläche, die Container für Anwendungen bieten, ist relativ groß. In einer Produktionsumgebung wagt es niemand, Linux-Container, die auf physischen Maschinen laufen, dem öffentlichen Netzwerk zugänglich zu machen.

Weitere verwandte Tutorials finden Sie in der Spalte Docker-Tutorial auf der chinesischen PHP-Website.

Das obige ist der detaillierte Inhalt vonWas kann Docker isolieren?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!