Docker容器的本质,如何实现的 资源隔离、资源限制

最新推荐文章于 2025-06-14 20:48:45 发布
原创 最新推荐文章于 2025-06-14 20:48:45 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Docker容器基于Linux内核的namespace和cgroups技术实现资源隔离与限制。namespace提供进程、文件系统、网络、用户等多方面的隔离,而cgroups则用于限制和控制资源使用,如CPU、内存。尽管namespace能实现一定程度的隔离,但仍有如时间这类资源无法完全隔离,且容器暴露的风险较高。了解这些机制有助于深入理解Docker容器的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

docker 容器本质:
  1. 容器其实就是Linux下一个特殊的进程;
  2. Docker容器通过namespace实现进程隔离通过cgroups实现资源限制;
  3. Docker镜像(rootfs)是一个操作系统的所有文件和目录而不包括内核,Docker镜像是共享宿主机的内核的;
  4. Docker镜像是以只读方式挂载,所有的增删改都只会作用在容器层, 但是相同的文件会覆盖掉下一层,这种方式也被称为"Copy-on-write";
使用Namespace进行容器的隔离有什么缺点呢?

最大的缺点就是隔离不彻底

  1. 容器知识运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核
  2. 在Linux内核中,有很多资源和对象是不能被Namespace化的,最典型的例子是:时间即如果某个容器修改了时间,那整个宿主机的时间都会随之修改
  3. 容器给应用暴露出来的攻击面比较大,在生产环境中,没有人敢把运行在物理机上的Linux容器暴露在公网上

linux 内核的namespace机制

  • namespace 机制提供一种资源隔离方案。
  • PID,IPC,Network 等系统资源不再是全局性的,而是属于某个特定的Namespace。
  • 每个 namespace下的资源对于其他的 namespace下的资源是透明的,不可见的。

Linux内核实现 namespace的一个主要目的就是实现轻量级虚拟化(容器)服务,在同一个 namespace下的进程可以感知彼此的变化,而对外界的进程一无所知,以达到独立和隔离的目的。

namespace可以隔离什么

一个容器要想与其他容器互不干扰需要能够做到:

    最低0.47元/天 解锁文章

    200万优质内容无限畅学
    Hik-hairi
    关注
    Docker 核心原理详解:Namespaces 与 Cgroups 如何实现资源隔离限制
    专栏
    05-19 624
    Docker 作为容器化技术的代表,通过 Linux 内核的 Namespaces 和 Cgroups 技术,实现了轻量、快速且一致的运行环境。Namespaces 负责隔离系统资源,如进程、网络、文件系统等,使得每个容器拥有独立的资源视图;Cgroups 则负责限制和监控容器资源使用,如 CPU、内存等,确保资源分配的公平性和安全性。相比于传统的虚拟机技术,Docker 容器共享宿主机内核,避免了额外操作系统的开销,启动更快,资源利用率更高。
    docker容器化技术
    qq_35623417的博客
    01-08 1180
    docker简单的说就是一个沙盒技术,主要目的是为了将应用运行在其中与外界隔离,方便这个沙盒可以被转移到其它宿主机器。docker虚拟化的是java app、 依赖包、环境信息、操作系统软件。先有docker后有容器化技术,docker基于linux containers。
    Docker是怎么实现资源隔离
    zyc12321的博客
    07-15 1963
    docker资源隔离
    Docker基础】Docker核心概念:资源隔离详解
    IT成长日记的博客
    06-14 1062
    命名空间是Linux内核提供的一种资源隔离机制,它允许将全局系统资源在独立的命名空间中呈现,使得每个命名空间内的进程看到的资源都是独立的。资源隔离是指将系统资源(如CPU、内存、网络、文件系统等)分配给不同的进程或容器,使得它们之间互不干扰,各自独立使用分配到的资源。文件系统隔离是指为每个容器提供独立的文件系统视图,使得容器内的进程无法直接访问宿主机或其他容器的文件系统。资源隔离容器化技术的核心特性之一,它确保了容器内的应用在运行时不会影响到宿主机或其他容器内的应用。命令可以查看容器资源使用情况,
    Docker实现进程隔离的方式
    qq_38003038的博客
    02-07 2273
    前言 Docker其实并没有实现什么新的技术,而是在Linux的系统调用之上做了封装,达到了非常好的用户体验,让人们感觉好像是跑的一个虚拟机一样。 Docker通过Linux的namespace机制实现进程隔离 对比虚拟机技术在同一个宿主机上建立多个操作系统实现的彻底的进程隔离,这样的实现方式要跑多个操作系统,带来了非常大的资源开销。而Docker容器技术则是通过一系列的namespace实现进程隔离,这是一种内核级别隔离系统资源的方法。 namespace隔离类型: UTS namespace UTS
    Docker容器隔离限制
    summer_fish的专栏
    06-19 1488
    Linux容器中用来实现隔离”的技术手段:Namespace。 Namespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
    Docker容器实战(六) - Docker是如何实现隔离的?
    JavaEdge全是干货的技术号
    10-08 4383
    容器只是一种特殊的进程,一个正在运行的Docker容器,就是一个启用了多个Linux Namespace的应用进程,而该进程能够使用的资源量,则受Cgroups限制。即容器是一个“单进程”模型。由于一个容器本质就是一个进程,用户的应用进程实际上就是容器里PID=1的进程,也是其他后续创建的所有进程的父进程。这意味着,在一个容器,无法同时运行两个不同应用,除非你能事先找到一个公共的PID=1的程序充当两个不同应用的父进程,这也解释了为何很多人会用systemd或这样的软件代替应用本身作为容器的启动进程。
    Docker容器:网络模式与资源控制
    十七拾的博客
    04-25 1910
    本文主要介绍 docker 五种网络模式和 docker资源控制(CPU 资源控制 、内存使用的限制、磁盘IO配额控制限制等),希望对你有帮助!
    Docker 运行时资源限制
    小六的昵称已被使用
    02-25 545
    title: Docker 运行时资源限制 categories: Docker tags: - Docker timezone: Asia/Shanghai date: 2019-02-25 Docker 运行时资源限制 一个 docker host 上会运行若干容器,每个容器都需要 CPU、内存和 IO 资源。对于 KVM,VMware 等虚拟化技术,用户可以控制分配多少 CPU、内存资源给...
    Docker学习笔记 — 对Docker容器进行资源限制
    Just for fun
    12-10 1205
    我们在实际场景中使用Docker容器启动服务时经常会遇到这种问题,当同一个宿主环境下同时运行多个容器时,如果一个服务特别耗资源或者负载突然陡增时,其对资源的抢占往往会影响到同一个环境中其他服务的正常运行。Docker基于linux cgroup技术,支持对Docker容器进行资源限制,这可以非常有效地避免同一个环境中多个服务间的资源竞争。 如果需要对容器的可用资源限制在4G内存+1G Swap空间...
    k8s与docker关于CPU竞争测试
    jiayu的博客
    08-07 1080
    默认docker运行程序下,如果未设置绑核,应用程序存在多个进程,且多个进程存在优先级,那么在这种情况下,可能会导致主进程工作效率降低单进程显然竞争不过多进程容器内如果存在多个进程,会存在低优先级抢占CPU的情况,导致主进程工作效率下降(解决办法:进行绑核处理)在宿主机资源不紧张的情况下,k8s可以保证每个pod分配request资源,且能将资源限制在limit之下在宿主机资源紧张的情况下,容器进程多的能抢占到更多的CPU,即使他们request与limit相同,且此时。...
    Docker-资源隔离限制实现原理
    江无羡
    05-17 935
    Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。用官方的话来说,Linux Namespace 将全局系统资源封装在一个抽象中,从而使 namespace 内的进程认为自己具有独立的资源实例。这项技术本来没有掀起多大的波澜,是容器技术的崛起让它重新引起了大家的注意。Linux Cgroups 是Linux提供的一种用于隔离限制资源的机制,能够实现资源(CPU、内存、磁盘I/O、网络等)进行使用量限制、优先级排序、资源使用量统计及进程状态控制。
    Docker容器化实战第四课 资源隔离限制
    fegus的博客
    05-29 960
    09 资源隔离:为什么构建容器需要 Namepace ? 我们知道, Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。那么究竟什么是 Namespace,各种 Namespace 都有什么作用,为什么 Docker 需要 Namespace呢?下面我带你一一揭秘。 首先我们来了解一下什么是 Namespace。 什么是 Namespace? 下面是 Namespace 的维基百科定义: Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一
    Docker资源隔离资源限制
    AbeyQ_Q的博客
    09-06 4154
    Docker资源隔离资源限制Docker容器本质Linux内核的namespace机制linux的namespace机制namespace可以隔离哪些Linux的 cgroups强大内核工具cgroups Docker容器本质 docker容器本质是宿主机上的一个进程。 Docker通过namespace实现资源隔离,通过cgroups实现资源限制,通过*写时复制机制(copy-o...
    资源隔离的两种虚拟化技术——虚拟机&容器 容器技术的资源隔离
    NewB20143864的博客
    02-07 8574
    文章目录资源隔离的两种主要方案虚拟机VS容器容器技术的资源隔离容器Docker 资源隔离的两种主要方案   在服务器或者大型计算机集群中,往往需要运行大量作业和应用,为保证这些作业和应用的进程之间互不干扰,人们尝试使用了资源隔离技术来为各个应用进程划定固定的资源空间,使得进程运行范围被限制在了一个有限的资源空间内,这样就保证了进程的运行不受其他进程的干扰。这其中被广泛使用的技术包括虚拟机技术和...
    Docker 容器资源隔离 namespace(十)
    weixin_34129696的博客
    11-07 434
    一、简介 Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的 Unix 有一个叫 chroot 的系统调用(通过修改根目录把用户 jail 到一个特定目录下),chroot 提供了一种简单的隔离模式:chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供...
    Docker实践—资源隔离限制
    shenzhen_zsw的专栏
    07-08 3305
    Docker实践—资源隔离限制 构建stress镜像 [root@controller ~]# cd /home/shangwu/tools/ [root@controller tools]# cd dockerfile/ [root@controller dockerfile]# mkdir stress [root@controller dockerfile]# cd st
    Docker容器如何通过`cgroups`和`namespace`实现资源隔离
    最新发布
    07-26
    嗯,用户现在想深入理解Docker容器如何利用cgroups和namespaces实现资源隔离的底层机制。之前我已经解释了容器与虚拟机的区别,现在需要聚焦在这两个核心技术点上。 用户提供的参考资料很有价值,特别是引用[3]提到...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值