docker

1 容器,限制容器中进程的活动范围,不能让容器中的进程访问真实的系统目录

解决办法(chroot pivot_root)修改

进程和系统的根目录到一个新的位置,用操作系统镜像文件挂载到容器进程的根目录下,变成容器的rootfs
2 如何把真实的系统隐藏起来,别让容器的进程看到(进程列表,网络设备,用户列表)
解决办法:namespace,每个命名空间都是独立存在的,命名空间里面的
3 随着docker 中的成员越来越多,redis等占内存过多,需要杀掉一些进程
解决方案 CGroup和namespace类似,限制每个分组能够使用的资源,(内存的上线,cpu的使用率,硬盘空间总量)

posted @ 2021-02-25 11:51  wonderfulviews  阅读(44)  评论(0编辑  收藏  举报