Amazon ECS 如何隔离属于不同客户的容器？

　　Amazon ECS 如何隔离属于不同客户的容器？
　　Amazon Elastic Container Service（ECS）是一个托管容器服务，可让您轻松运行、停止和管理 Docker 容器。但是，在共享主机上运行多个客户的容器可能会导致安全性问题或应用程序之间的资源冲突。因此，Amazon ECS 提供了多个隔离机制来确保每个客户的容器被隔离开来。

 
　　1. IAM 和角色
　　AWS Identity and Access Management（IAM）使您可以控制用户对 AWS 资源的访问。您可以使用 IAM 角色来授予 ECS 主机权限，以在您的 AWS 帐户中的多个 ECS 群集上安装 ECS 代理。
　　2. Task isolation（任务隔离）
　　Amazon ECS 使用底层容器技术 (Docker) 为每个任务分配独立的 NameSpaces。这些 NameSpaces 是 Linux 操作系统用于限制进程对其他进程和系统资源的可见性的机制。这种隔离保证一个用户或任务的 ECS 实例不会影响另一个用户或任务的实例，并且防止您的容器之间可能产生的竞争条件。
　　3. Network isolation（网络隔离）
　　Amazon ECS 隔离容器的网络流量。在 ECS 中，容器网络之间被隔离并默认不连通。您可以使用父子容器关系来控制子容器访问其父容器的网络，这种技术使 ECS 充当了一种微型容器网络。
　　总之，Amazon ECS 提供了多个机制来确保不同客户的容器是相互隔离的，从而提高了在共享主机环境下运行容器的安全性。这些机制包括 IAM 和角色、任务隔离和网络隔离。如果您正在考虑在 Amazon ECS 上运行共享主机的容器，请考虑这些机制。