docker可以隔離什么

docker可以隔離什么

docker的隔離性主要運用Namespace 技術。

namespace(命名空間)可以隔離哪些:

1、文件系統需要是被隔離的

2、網絡也是需要被隔離的

3、進程間的通信也要被隔離

4、針對權限,用戶和用戶組也需要隔離

5、進程內的PID也需要與宿主機中的PID進行隔離

使用Namespace進行容器的隔離有什么缺點呢?

最大的缺點就是隔離不徹底。

1)容器知識運行在宿主機上的一種特殊的進程,那么多個容器之間使用的就還是同一個宿主機的操作系統內核。

2)在Linux內核中,有很多資源和對象是不能被Namespace化的,最典型的例子是:時間,即如果某個容器修改了時間,那整個宿主機的時間都會隨之修改。

3)容器給應用暴露出來的攻擊面比較大,在生產環境中,沒有人敢把運行在物理機上的Linux容器暴露在公網上。

更多相關教程,請關注PHP中文網docker教程欄目。

以上就是

? 版權聲明
THE END
喜歡就支持一下吧
點贊6 分享