01-docker原理-02-隔离机制

文章目录

• 1. 容器底层实现
• • 1.1 虚拟机隔离的方法
  • 1.2 docker隔离方法：
  • • 1.2.1 使用Namespaces实现了系统环境的隔离
    • 1.2.2 使用CGroups限制这个环境的资源使用情况
• 2. docker存在的问题
• • 2.1 存在的问题
  • 2.2 示例

1. 容器底层实现

上图说明：
Hypervisor：运行在物理服务器和操作系统之间的中间层软件，可以允许多个操作系统和应用共享一套基础物理硬件，是所有虚拟化技术的核心。

1.1 虚拟机隔离的方法

是利用一个独立的Guest OS，并利用Hypervisor虚拟化CPU、内存、IO设备等实现的。

1.2 docker隔离方法：

1.2.1 使用Namespaces实现了系统环境的隔离

将在《namespace的6项隔离》中详细讲解

Namespaces允许一个进程以及它的子进程从共享的宿主机内核资源（网络栈、进程列表、挂载点等）里获得一个仅自己可见的隔离区域，让同一个Namespace下的所有进程感知彼此变化，对外界进程一无所知，仿佛运行在一个独占的操作系统中

1.2.2 使用CGroups限制这个环境的资源使用情况

将在《cgroups 资源限制》中详细讲解

比如一台16核32GB的机器上只让容器使用2核4GB。使用CGroups还可以为资源设置权重，计算使用量，操控任务（进程或线程）启停等；

2. docker存在的问题

2.1 存在的问题

• Docker是利用CGroups实现资源限制的，只能限制资源消耗的最大值，而不能隔绝其他程序占用自己的资源;

• Namespace的6项隔离看似完整，实际上依旧没有完全隔离Linux资源。

如/proc 、/sys 、/dev/sd*等目录未完全隔离，SELinux、time、syslog等信息都未隔离。

2.2 示例

• 在Docker容器中执行top、free等命令，显示的是宿主机的情况。

• 在容器里修改/etc/sysctl.conf，提示只读。

• 对于多进程程序，一般都可以将worker数量设置成auto，自适应系统CPU核数，但在容器里面这么设置，取到的CPU核数是不正确的，例如Nginx，其他应用取到的可能也不正确，需要进行测试