【k8s学习笔记-容器概念入门(二)-隔离与限制】

最新推荐文章于 2024-04-30 11:50:40 发布
最新推荐文章于 2024-04-30 11:50:40 发布
阅读量697 收藏
点赞数
文章标签: 学习 docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amelie123/article/details/126069349
版权

(又开了新坑,这次可要填满加油)

容器基础二:隔离与限制

隔离

概念解释

1、Namespace:是Linux 容器中用来实现“隔离”的技术手段,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容
在这里插入图片描述2、docker engine:不等同于Hypervisor,并不像 Hypervisor 那样对应用进程的隔离环境负责,也不会创建任何实体的“容器”,真正对隔离环境负责的是宿主机操作系统本身
3、容器中的应用:用户运行在容器里的应用进程,跟宿主机上的其他进程一样,都由宿主机操作系统统一管理,只不过这些被隔离的进程拥有额外设置过的 Namespace 参数。而 Docker 项目在这里扮演的角色,更多的是旁路式的辅助和管理工作(docker甚至可以去掉?那由谁来替代呢)

容器化的特点

  1. 节省资源:采用虚拟机方式,每个虚拟机都需哟有一个操作系统,这会带来巨大的资源损耗,而采取容器化的方式也不需要单独的擦左系统,而且namespace占用的资源可以忽略不计
  2. 敏捷和高性能:这是最大的优势
  3. 隔离的不彻底:1)因为容器是运行在宿主机上的一种特殊的进程,多个容器共同使用一个宿主机的操作系统的内核;2)有很多资源和对象是不可以被namespace的,比如时间,也就是说整个系统的时间是统一在的,这会导致容器内的操作自由度是有一定限制的,有些可以做,有些就不可以做

限制

限制采用的技术

1)Linux Cgroups 就是 Linux 内核中用来为进程设置资源限制的一个重要功能,一是就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。二是对进程进行优先级设置、审计,以及将进程挂起和恢复等操作;2)Linux Cgroups 的设计就是一个子系统目录加上一组资源限制文件的组合,即为每一个容器创建一个控制组

限制不完善的地方

应用程序在容器里读取到的 CPU 核数、可用内存等信息都是宿主机上的数据,这会给应用的运行带来非常大的困惑和风险

总结

  1. 一个正在运行的 Docker 容器,其实就是一个启用了多个 Linux Namespace 的应用进程,而这个进程能够使用的资源量,则受 Cgroups 配置的限制。
  2. 隔离是用的namespace技术,但是无法实现彻底隔离;限制采用的是cgroups技术
  3. 容器是“单进程”模型:在一个容器中,你没办法同时运行两个不同的应用,除非你能事先找到一个公共的 PID=1 的程序来充当两个不同应用的父进程

小知识

1.pid是父进程

问题

1、centos是什么东西?

Amelie123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S系列:容器实现app应用资源隔离原理
NIO4444
09-28 690
一个进程的资源(CPU、内存、网络带宽等)使用量不能超出被分配的量。多个进程运行在同一个操作系统上,那容器到底是怎样隔离它们的。被用来限制一个进程或者一组进程的资源使用。每种命名空间被用来隔离一组特定的资源。它使每个进程只看到它自己的系统视图(进程将只能看到同一个命名空间下的资源。文件、进程、网络接口、主机名。它限制了进程能使用资源量(CPU、内存、网络带宽。
Kubernetes实战(十八)-环境共享与隔离(Namespace)
专注基础架构领域
08-31 1731
Kubernetes使用命名空间概念帮助解决集群中在管理对象时的复杂性问题。命名空间允许将对象分组到一起,便于将它们作为一个单元进行筛选和控制。无论是应用自定义的访问控制策略,还是为了测试环境而分离所有组件,命名空间都是一个按照组来处理对象。 Namespace即命名空间,主要有两个方面的作用: 资源隔离:可为不同的团队/用户(或项目)提供虚拟的集群空间,共享同一个Kubernetes集群的资源。比如可以为团队A创建一个Namespace ns-a,团队A的项目都部署运行在 ns-a 中,团队B创建另
k8s学习笔记-容器概念入门(三)-容器镜像】
Amelie123的博客
07-31 855
容器镜像是什么
云原生内容分享(十五):云原生k8s集群安全隔离建设方案详解
之乎者也·的博客
02-09 1018
网络策略(Network Policies):在Kubernetes容器编排系统中,可以定义网络策略来控制不同Pod间的网络通信。通过标签选择器来决定哪些Pod可以互相通信。命名空间(Namespaces):Kubernetes中的命名空间提供了逻辑上的隔离,不同的服务可以在各自的命名空间中运行,从而实现一定程度的网络和资源隔离。服务网格(Service Mesh):例如Istio等服务网格组件提供细粒度的流量管理和安全策略实施。
k8s-for-docker-desktop.zip
10-21
mac版docker-desktop启动k8s所需镜像资源
k8s学习之路-入门
04-05
本人自学k8s的理解,和吸取业界大佬的思想体会,整理出k8s初学之路材料供参考
docker学习笔记(k8s)
02-19 6865
目录 1、基本概念 2、安装使用 3、常用命令 k8s基本概念 Kubernetes 是Google开源的容器集群管理系统,基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件,目前最新版本为1.0.6; 下面是一张简单的架构图 几个重要概念: Pod : 在Kubernetes系统中,调度的最小颗粒不是单纯的容器,而是抽象成一个Pod...
kubernetes学习实践()-容器技术基础(隔离限制
rickey17的博客
08-31 343
Docker安装 Mac安装docker教程 https://www.runoob.com/docker/macos-docker-install.html 第一个容器 ➜ ~ docker run -it busybox /bin/sh / # -it 告诉docker项目在启动容器后,分配给我们一个文本输入/输出的环境,也就是tty,跟 容器的标准输入关联,这样我们就可以跟容器进行交互啦...
k8s之多方面多维度的资源隔离限制(namespace,LimitRange,ResourceQuota)
guijianchouxyz的博客
12-23 1867
首先我们能想到的资源隔离就是namespace,这不知道是不是大家的第一反应,反正我是的,,哈哈哈。当然还有好多可以配置资源限制以及配额的方法
k8s 基于 cgroup 限制资源使用量(capacity enforcement):模型设计与代码实现
小胡子
01-28 1163
k8s 基于 cgroup 限制资源使用量(capacity enforcement):模型设计与代码实现
关于k8s隔离namespace与cgroup
qq_43340814的博客
08-24 2760
容器技术中一个非常重要的概念容器是一个单进程模型。 用户的应用进程就是容器里面PID=1的进程,其他后续创建的进程都是这个进程的子进程,意味着你没法运行两个不同的应用,除非找到一个公共的PID=1的程序来充当两个不同程序的父进程。 关于两者关系 namesapce主要是隔离作用,cgroups主要是资源限制,联合文件主要用于镜像分层存储和管理,runC是运行时,遵循了oci接口,一般来说基于libcontainer。网络主要是docker单机网络和多主机通信模式。 namespace 是用来做资源隔离,
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
它的容器镜像可以在 rdma/k8s-rdma-sriov-dev-plugin 上找到。如何使用 SRIOV 模式? 1.创建每个节点的sriov配置编辑 example/sriov/rdma-sriov-node-config.yaml 以描述 sriov PF netdevice(s)。 在此示例中,它是...
DOCKER 学习笔记9 Kubernetes (K8s) 生产级容器编排 上
01-07
本节将继续学习关于 Kubernetes (K8s) 的内容。 Kubernetes 建立在 Google 15年的生产工作负载管理经验的基础上,结合了来自社区的最佳理念和实践。 Kubernetes (K8s) Kubernetes是Google开源的一个容器编排引擎,它...
DOCKER 学习笔记9 Kubernetes (K8s) 弹性伸缩容器
01-07
这节,将学习弹性的将服务部署到多个节点上。 检查 检查部署情况 kubectl get deployments $ kubectl get deployments NAME READY UP-TO-DATE AVAILABLE AGE mynode 1/1 1 1 10m READY 显示当前/所需副本的比率 UP-...
k8s-dns-sidecar-amd64
09-26
k8s-dns-sidecar-amd64-1.14.8镜像,镜像使用方法: docker load -i k8s-dns-sidecar-amd64-1.14.8.tar.gz
党务学习|基于SprinBoot+vue的大学生党务学习平台(源码+数据库+文档)
伟庭的博客
04-27 706
大学生党务学习平台管理系统按照操作主体分为管理员和用户。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。大学生党务学习平台管理系统可以提高大学生党务学习平台信息管理问题的解决效率,优化大学生党务学习平台信息处理流程,保证大学生党务学习平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。大学生党务学习平台管理系统;入党申请,党课Mysql数据库;Java语言。
集成学习算法学习笔记
m0_46521579的博客
04-27 413
三个臭皮匠顶一个诸葛亮集成学习会考虑多个评估器的建模结果,汇总后得到一个综合的结果,以此来获取比单个模型更好的回归或分类表现。很多独立的机器学习算法:决策树、神经网络、支持向量机集成学习构建了一组基学习器,并将它们综合起来作为最终的模型。在很多集成学习模型中,对基学习器的要求很低。集成学习适用于机器学习的几乎所有领域:回归、分类、推荐和排序。相同的多个基学习器不会带来任何提升,不同的模型取长补短,每个基学习器都会犯不同的错误,综合起来犯错的可能性不大。
PySide6 GUI 学习笔记——使用资源文件
Humbunklung的专栏
04-27 535
在界面开发中,我们常常将一些图片、图标等资源统一存放到资源文件中供使用,从而让图形界面表达能力更好,更加丰富,譬如带图标的按钮、菜单、窗口等等。PySide6可以将多个图标、图片等资源文件编译到.py文件中,这样可以被我们的程序直接调用,使得资源的管理更加方便。
公考学习平台|基于SprinBoot+vue的公考学习平台(源码+数据库+文档)
最新发布
weixin_66413741的博客
04-30 715
本共享汽车管理系统有管理员和用户。管理员功能有个人中心,用户管理,投放地区管理,汽车信息管理,汽车投放管理,汽车入库管理,使用订单管理,汽车归还管理。用户可以在注册登录,可以对汽车进行使用产生订单,还可以归还。因而具有一定的实用性。本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得共享汽车管理系统管理工作系统化、规范化。
尚硅谷k8s学习笔记
09-09
这些学习笔记包括了k8s的基本概念、架构和部署等内容。此外,引用中提到k8s是一个开源的、用于管理云平台中多个主机上的容器化应用的工具,具有轻量级、资源消耗小、弹性伸缩和负载均衡等特点。因此,如果你对学习k8...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值