容器的隔离与限制

最新推荐文章于 2024-08-17 14:45:27 发布
最新推荐文章于 2024-08-17 14:45:27 发布
阅读量210 收藏
点赞数
分类专栏: 运维 文章标签: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/key_3_feng/article/details/131426632
版权

“敏捷”和“高性能”是容器相较于虚拟机最大的优势,也是它能够在 PaaS 这种更细粒度的资源管理平台上大行其道的重要原因。

不过,有利就有弊,基于 Linux Namespace 的隔离机制相比于虚拟化技术也有很多不足之处,其中最主要的问题就是:隔离得不彻底。

首先,既然容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。

其次,在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,最典型的例子就是:时间。

这就意味着,如果你的容器中的程序使用 settimeofday(2) 系统调用修改了时间,整个宿主机的时间都会被随之修改,这显然不符合用户的预期。相比于在虚拟机里面可以随便折腾的自由度,在容器里部署应用的时候,“什么能做,什么不能做”,就是用户必须考虑的一个问题。

更为棘手的是,尽管在实践中我们确实可以使用 Seccomp 等技术,对容器内部发起的所有系统调用进行过滤和甄别来进行安全加固,但这种方法因为多了一层对系统调用的过滤,必然会拖累容器的性能。何况,默认情况下,谁也不知道到底该开启哪些系统调用,禁止哪些系统调用。

Linux Cgroups 就是 Linux 内核中用来为进程设置资源限制的一个重要功能。

Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

Linux Cgroups 的设计还是比较易用的,简单粗暴地理解呢,它就是一个子系统目录加上一组资源限制文件的组合。而对于 Docker 等 Linux 容器项目来说,它们只需要在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),然后在启动容器进程之后,把这个进程的 PID 填写到对应控制组的 tasks 文件中就可以了。

此文章为6月Day27学习笔记,内容来源于极客时间《深入剖析 Kubernetes》,推荐该课程。

key_3_feng
关注
专栏目录
06 _ 白话容器基础(二):隔离限制1
08-04
本文将深入探讨容器的核心概念——隔离限制,以及它们如何与虚拟机进行对比。 容器隔离主要依赖于Linux内核提供的Namespace机制。Namespace允许每个容器拥有自己独立的命名空间,如进程、网络、文件系统、用户...
深入刨析容器(三):容器隔离限制
dfBeautifulLive的博客
06-14 907
Docker容器因为还是共用的宿主机的内核,看似隔离了,其实还是隔离不彻底,只不过是被宿主机隐藏的进程,但是容器却没有虚拟机似的那么大消耗,虽然“敏捷”、“高性能”是容器较于虚拟机最大的优势,但是隔离不彻底也是它的最大缺点,共享内核那么暴露也会越多,不安全性就会越多,还有很多的资源和对象是不能够被Linux的Namespace化的,如时间,如果容器调用系统函数修改了时间,那么宿主机也会进行时间的修改,这是不科学也是不安全,所以就要为容器做一个限制
Docker容器隔离限制
summer_fish的专栏
06-19 1190
Linux容器中用来实现“隔离”的技术手段:Namespace。 Namespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
【笔记】容器基础-隔离限制
xueqinglalala的博客
02-02 486
UTS Namespace:隔离主机名IPC Namespace:隔离进程间通信PID Namespace:隔离进程IDMount Namespace:隔离进程看到的文件层级User Namespace:隔离用户组ID(举个例子:在宿主机上以一个非root用户运行创建一个User Namespace ,在UserNamespace里面映射成root用户)Network Namespace:用来隔离网络设备,IP地址端口等网络栈。
容器隔离限制
weixin_42494845的博客
07-23 1297
容器是怎么隔离的? 随着云计算的火爆,近几年说得最多的是什么?无疑是容器容器编排技术。近几年火热的一些词,比如PasS , SaaS ,Serviceless ,Service Mesh 等等,无一不是和容器有关。 下面咱们就来说一说容器到底是怎么隔离的? 我们知道程序其实是数据加上代码本身的二进制文件放在磁盘上的,当我们运行一个程序时,它就从磁盘上的二进制文件变成了计算机内存中的数据,寄存器里的值,堆栈信息,被打开的文件以及各种设备状态信息的集合,也就是我们常说的进程。 而容器隔离技术,其实就是通过约束
容器安全系列Ⅱ】- 容器隔离与命名空间深度解析
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-17 1280
在本系列的第一部分中,我们了解到容器实际上只是 Linux 进程。现在,我们需要了解容器如何与主机的其余部分隔离。换句话说,我们如何确保在一个容器中运行的进程不会轻易干扰另一个容器或底层主机的操作?
docker资源隔离与资源限制
识途老码
11-20 881
Dockder的namespace
Java进阶篇-简单理解Docker容器隔离原理
qq_33351639的博客
02-24 510
现在假设我们的一个Java项目中,它同时依赖了Node、Mysql、Redis、RocketMQ等多种框架。那么每个服务打包成容器后,它们之间是否会产生影响?会产生什么样的影响?
容器云系列之Docker容器资源隔离
牧羊人的方向
11-13 3021
本文简要介绍了Docker容器对CPU、内存和IO等系统资源限制
Docker-资源隔离限制实现原理
江无羡
05-17 766
Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。用官方的话来说,Linux Namespace 将全局系统资源封装在一个抽象中,从而使 namespace 内的进程认为自己具有独立的资源实例。这项技术本来没有掀起多大的波澜,是容器技术的崛起让它重新引起了大家的注意。Linux Cgroups 是Linux提供的一种用于隔离限制资源的机制,能够实现对资源(CPU、内存、磁盘I/O、网络等)进行使用量限制、优先级排序、资源使用量统计及进程状态控制。
docker原理 ---- 容器隔离限制
王冠hurt的博客
09-12 9368
在上一篇文章中,我详细介绍了 Linux 容器中用来实现“隔离”的技术手段:Namespace。而通过这些讲解,你应该能够明白,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。 说到这一点,相信你也能够知道我在上一篇文章最后给你留下的第一个思考题的答...
06 白话容器基础(二):隔离限制.pdf
09-18
【描述】:“06 白话容器基础(二):隔离限制.pdf”这篇文章深入探讨了容器技术中的核心概念——隔离限制,主要围绕Linux容器的Namespace技术以及它与虚拟机的比较。 【标签】:“互联网” 【内容分析】: ...
容器安全与隔离机制.pptx
06-03
#### 容器隔离技术之系统层级隔离 1. **Linux命名空间**: - **定义**:提供了进程隔离环境,使得容器内的进程拥有独立的网络、进程、文件系统和挂载点等。 - **作用**:通过创建独立的命名空间来隔离容器内部...
【SCI2区】基于遗传算法GA优化Transformer-BiLSTM锂电池健康寿命预测算法研究Matlab实现.rar
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
光伏储能vsg同步发电机三相并网simulink模型 含有无功指令+逆变器控制 出光伏储能VSG仿真simulink模型 光伏
10-08
光伏储能vsg同步发电机三相并网simulink模型 含有无功指令+逆变器控制 出光伏储能VSG仿真simulink模型 光伏储能联合并网 mppt扰动观察法追踪 功率指令可调,有功无功设置 vsg控制策略 同步发电机 可进行一次调频 储能进行直流侧电容稳压 simulink版本可调
基于plc的 液体饲料调配到自动饲喂组态设计程序自动控制自动配料 带解释的梯形图程序,接线图原理图图纸,io分配,组态画面
10-08
基于plc的 液体饲料调配到自动饲喂组态设计程序自动控制自动配料 带解释的梯形图程序,接线图原理图图纸,io分配,组态画面
【超强组合】基于VMD-蝗虫优化算法GOA-Transformer-LSTM的光伏预测算研究Matlab实现.rar
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
【超强组合】基于VMD-粒子群优化算法PSO-Transformer-BiLSTM的光伏预测算研究Matlab实现.rar
最新发布
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
基金交易网站 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
10-08
基金交易网站 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
容器技术解析:隔离限制
"06 _ 白话容器基础(二):隔离限制1 - 讲解了Linux容器中的Namespace技术如何实现应用进程的隔离,以及Docker在容器技术中的位置和作用。" 在深入讨论容器的基础知识时,我们聚焦于隔离限制这一核心概念。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值