Docker 通过多种机制实现了资源隔离,这些机制包括命名空间(namespaces)、控制组(control groups, cgroups)以及其他容器相关的技术。下面详细介绍 Docker 如何使用这些技术来实现资源隔离。
- 命名空间(Namespaces)
命名空间提供了进程、网络接口、文件系统等方面的隔离,使得容器内的进程和其他资源看起来像是运行在一个独立的操作系统实例中。
主要的命名空间包括:
PID(Process ID)命名空间:
每个容器都有自己的进程树,这些进程不会影响宿主机上的其他进程。
进程 ID 号在容器内部是独立的,这意味着容器内部的进程 ID 号不会与宿主机上的进程 ID 号冲突。
NET(Network)命名空间:
每个容器都有自己的网络栈,包括网络设备、IP 地址、端口等。
容器可以有自己的 IP 地址和端口范围,相互之间不会冲突。
IPC(Inter-Process Communication)命名空间:
每个容器有自己的共享内存段和信号量集,使得容器间的进程不会互相干扰。
UTS(UNIX Time-sharing System)命名空间:
容器可以有不同的 hostname 和 domainname,从而实现命名上的隔离。
USER(User ID)命名空间:
容器内的用户 ID 可以与宿主机上的用户 ID 不同,从而提高安全性。
MNT(Mount)命名空间:
容器有自己的文件系统层次结构,这意味着容器内的文件系统与宿主机的文件系统是隔离的。
- 控制组(Control Groups, cgroups)
控制组(cgroups)用于限制、记录和隔离进程组使用的物理资源(CPU、内存、磁盘 I/O 等)。Docker 使用 cgroups 来限制容器的资源使用。
主要的 cgroups 功能包括:
CPU 限制:
可以限制容器使用 CPU 的时间,例如设置 CPU shares 和 CPU quota。
内存限制:
可以限制容器使用的内存大小,超出限制时可以设置不同的行为(如 OOM killer)。
磁盘 I/O 限制:
可以限制容器的磁盘 I/O 速度。
进程限制:
可以限制容器内可以运行的最大进程数。
- 文件系统隔离
Docker 使用分层文件系统(如 AUFS、overlayfs)来实现容器内的文件系统隔离。每个容器都有一个独立的文件系统视图,这些文件系统可以共享基础镜像,但容器内的修改是隔离的。
- 网络隔离
Docker 提供了多种网络模式来实现容器之间的网络隔离:
Bridge 模式:
默认情况下,容器连接到一个名为 docker0 的桥接网络,容器之间可以通过桥接网络相互通信。
Host 模式:
容器使用宿主机的网络栈,适用于需要与宿主机共享网络配置的情况。
None 模式:
容器没有任何网络连接,适用于不需要网络连接的场景。
Custom 模式:
可以创建自定义网络,并将容器连接到这些网络,实现更细粒度的网络控制。