01-docker原理-02-隔离机制

已于 2022-06-15 22:24:34 修改
阅读量1.2k 收藏 5
点赞数 3
分类专栏: # 01-docker基础 文章标签: docker namespace docker隔离机制 容器
于 2021-09-14 19:41:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingzuo_1840/article/details/120294914
版权
本文深入探讨了Docker容器的底层实现,包括对比虚拟机的隔离方式,详细阐述了Docker如何通过Namespaces实现系统环境隔离以及CGroups限制资源使用。然而,Docker存在资源隔离不彻底及与其他进程交互的问题,如/proc、/sys等目录未完全隔离,导致某些系统信息无法完全隔离,并可能影响多进程程序的资源感知准确性。
摘要由CSDN通过智能技术生成

文章目录

1. 容器底层实现

image.jpeg

上图说明:
Hypervisor:运行在物理服务器和操作系统之间的中间层软件,可以允许多个操作系统和应用共享一套基础物理硬件,是所有虚拟化技术的核心。

1.1 虚拟机隔离的方法

是利用一个独立的Guest OS,并利用Hypervisor虚拟化CPU、内存、IO设备等实现的。

1.2 docker隔离方法:

1.2.1 使用Namespaces实现了系统环境的隔离

将在《namespace的6项隔离》中详细讲解

Namespaces允许一个进程以及它的子进程从共享的宿主机内核资源(网络栈、进程列表、挂载点等)里获得一个仅自己可见的隔离区域,让同一个Namespace下的所有进程感知彼此变化,对外界进程一无所知,仿佛运行在一个独占的操作系统中

1.2.2 使用CGroups限制这个环境的资源使用情况

将在《cgroups 资源限制》中详细讲解

比如一台16核32GB的机器上只让容器使用2核4GB。使用CGroups还可以为资源设置权重,计算使用量,操控任务(进程或线程)启停等;

2. docker存在的问题

2.1 存在的问题

  • Docker是利用CGroups实现资源限制的,只能限制资源消耗的最大值,而不能隔绝其他程序占用自己的资源;

  • Namespace的6项隔离看似完整,实际上依旧没有完全隔离Linux资源。

如/proc 、/sys 、/dev/sd*等目录未完全隔离,SELinux、time、syslog等信息都未隔离。

2.2 示例

  • 在Docker容器中执行top、free等命令,显示的是宿主机的情况。

  • 在容器里修改/etc/sysctl.conf,提示只读。

  • 对于多进程程序,一般都可以将worker数量设置成auto,自适应系统CPU核数,但在容器里面这么设置,取到的CPU核数是不正确的,例如Nginx,其他应用取到的可能也不正确,需要进行测试

玄德公笔记
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker容器实现原理容器隔离性踩坑介绍
小米云技术
08-17 5523
正如Docker官方的口号:“Build once,Run anywhere,Configure once,Run anything”,Docker被贴上了如下标签:轻巧、秒级启动、版本管理、可移植性等等,这些优点让它出现之初就收到极大的关注。现在,Docker已经不仅仅是开发测试阶段使用的工具,大家已经在生产环境中大量使用。今天我们给大家介绍关于容器隔离性的一个“坑”。在此之前,我们先来回顾一下...
03-Docker-Docker镜像的分层概念
weixin_46147113的博客
11-29 1073
是一种轻量级、可执行的独立软件包,包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出某一个对象)Docker利用容器(Container)独立运行的一个或一组应用,应用程序或服务器运行在容器里面,容器就类似一个虚拟化的运行环境,容器是用镜像创建的运行实例。
Docker隔离机制
sophia__yu的博客
08-27 6480
Docker隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的,在正常情况下,用户不会看见重复的PID。然而在Docker采用了Namespace,从而令相同的PID可于不同的Namespace中独立存在。如,A Container 之中PID=1是A程序,而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出...
Docker容器之间的隔离机制
最新发布
My_wife_QBL的博客
06-25 1041
Docker容器技术作为现代化软件开发和部署的基石,其核心优势之一便是能够提供轻量级的隔离环境。这种隔离机制不仅确保了容器之间互不干扰,也提高了系统的安全性和稳定性。本文将详细阐述Docker容器之间的隔离机制,以便读者更好地理解其工作原理
Docker 原理剖析(一)隔离
Geffin的博客
12-17 539
文章目录引子手段测试原理 引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之间便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的
Docker——Docker资源隔离原理
庄小焱
10-15 716
Namespace是Linux内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。 Namespace的工作方式通过为一组资源和进程设置相同的Namespace而起作用,但是这些Namespace引用了不同的资源。 资源可能存在于多个Namespace中。这些资源可以是进程ID、主机名、用户ID、文件名、与网络访问相关的名称和进程间通信。
Docker容器技术-docker0网桥.pptx
06-09
Docker容器技术是一种轻量级的虚拟化技术,它通过沙盒机制隔离应用程序,使得多个应用可以在同一台宿主机上并行运行而不互相干扰。在Docker容器的网络架构中,`docker0`网桥扮演着至关重要的角色,它是Docker默认的...
用nvidia-docker跑深度学习模型
热门推荐
weixin_42749767的博客
10-03 1万+
用nvidia-docker跑深度学习模型 ##背景 最近实验室要参加一个目标检测的比赛,这段时间一直在跑ssd模型,最开始根据作者给的文档成功编译后,可以在VOC数据集上进行训练。由于要用比赛官方的数据集,因此做了几天的数据集,然后拿自己的数据集训练的时候,出现了以下报错:Check failed: a <= b (0 vs. -1.192093-07) 去网上搜了相关的解决方法,全都...
Docker学习笔记1 -- Docker基本原理和应用场景
lifanxin的博客
11-23 416
文章目录Docker简介为啥会出现DockerDocker是什么?虚拟机技术和容器虚拟技术Docker详解Docker三大要素Docker的安装Docker配置阿里云仓库Docker应用场景 Docker简介 为啥会出现Docker?   在以往的传统开发过程中,开发工程师负责代码的编写,将在本地开发环境中运行无误的代码交由测试人员测试或者进一步交给运维人员进行部署。由于只给了代码,而测试人员或者运维人员所使用的运行环境往往和开发工程师的开发环境不一样,所以会产生一系列由于环境不同而导致的问题。所以要解决
Docker 容器隔离原理 | 学习
zhaosheng的博客
08-28 619
当我们使用Docker时,想要进入容器就会使用下面的命令: $ docker run -it busybox /bash/sh -it参数表示需要Dokcer项目给我们分配一个文本输入/输出的环境; /bash/sh即我们需要在Docker容器中要运行的程序。 进入容器后,通过查看进程可以发现 / # ps PID USER TIME COMMAND 1 root 0:00 /bin/sh 10 root 0:00 ps 在Docker容器里面第一个进程就是/bin/sh,而
Java进阶篇-简单理解Docker容器隔离原理
qq_33351639的博客
02-24 494
现在假设我们的一个Java项目中,它同时依赖了Node、Mysql、Redis、RocketMQ等多种框架。那么每个服务打包成容器后,它们之间是否会产生影响?会产生什么样的影响?
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5671
一、隔离原理
docker——底层隔离机制和网络类型
m0_53891399的博客
08-20 554
新创建的容器不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等。Docker 需要进行隔离主要是为了实现容器化的核心目标,即将应用程序及其依赖项打包为独立的容器,使其在不同环境中能够一致运行。,命名空间是Linux内核提供的一种隔离机制,用于隔离不同进程的资源视图,使得它们看起来像是在独立的环境中运行,每个命名空间提供了一种。每种网络模式都有其适用的场景和优劣势,选择合适的网络模式取决于应用的程序要求和设计目标。在主机模式下,容器直接使用主机的网络栈,与主机共享网络命名空间。
docker是怎么实现隔离
荒-于嬉的博客
06-10 694
docker如何实现的进程隔离
Docker系列文-----Docker隔离机制(5)
m0_55724788的博客
08-19 516
Docker系列文-----Docker隔离机制(5)Docker底层的隔离机制命名空间(namespace):Docker内部有多少种命名空间?1.UTS namespace2.IPC namespace3.PID namespace4.mount namespace5.network namespace6.user namespace Docker底层的隔离机制 命名空间(namespace): 命名空间(namespace)是Linux内核的一个强大特性,为容器虚拟化带来了极大便利,利用这特性,每个
Docker是如何实现隔离
qq_41490913的博客
04-13 411
Docker是如何实现隔离
Docker容器技术原理(一)隔离
傅红雪的专栏
04-20 1132
引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之间便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的数据、寄存器里的值
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玄德公笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值