docker隔离实现

docker 容器之间的隔离实现

docker容器之间隔离：

• 命名空间
• 控制组
• 网络虚拟化
• 联合文件系统

命名空间

• pid namespace: 进程隔离
• net namespace: 管理网络接口
• ipc namespace: 管理进程通信资源
• mnt namespace: 管理文件系统挂载
• uts namespace: 隔离内核和版本标识(unix timesharing system)
  

控制组

控制组，cgroup, 用于限制资源使用，如内存，cpu，磁盘，网络等

网络虚拟化

联合文件系统