那些遇到过的问题

Docker 引擎如何取代虚拟机管理程序和来宾操作系统?

man*_*ain 1 virtual-machine docker

左边是我从这个视频中得到的一个虚拟机和丰富的 Docker :

在此处输入图片说明

Docker 引擎如何能如此轻巧,以至于它可以取代客户操作系统和管理程序,并且仍然可以与主机操作系统一起工作?本质上,它只是比虚拟机更有效地转换不同的应用程序及其依赖项?我听说 Docker 引擎使用与主机操作系统相同的内核,但我不确定我是否理解这意味着什么。本质上,我们用一个 Docker 引擎替换了来自多个客户操作系统和管理程序的所有依赖项,但我不明白如何做到这一点。Docker 引擎是否只是删除了访客操作系统本来就不应该拥有的那么多无关紧要的东西?什么是不必要的无关紧要的东西?

Ric*_*nco 5

容器必须被理解为一组使用 Linux 内核原语(例如命名空间和 cgroup)实现的隔离进程。目前,有 5 个命名空间:PID、挂载、网络、IPC 和用户命名空间。简而言之:使用命名空间,进程无法看到彼此,除非它们在同一个命名空间中。把它想象成类固醇上的 chroot(一种挂载命名空间)......这个概念类似于 FreeBSD jails 和 Solaris Zones。Cgroups 是一种对命名空间中一组进程的资源消耗设置限制的方法。

Docker 只是以自己的方式实现 Linux 容器,容器运行在联合文件系统的层之上,等等。

容器运行与主机相同的内核。为了减少内核的攻击面,使用seccomp、apparmor/selinux等机制过滤了大量的系统调用。此外,大量的能力被丢弃,以达到一定程度的隔离,难以越狱。

归档时间:

查看次数:

552 次

最近记录:

5 年,4 月 前
相关归档
Docker Swarm服务 - 强制更新已运行的最新映像 36
Docker 和 npm - gyp 错误!不好 17
docker stack deploy导致"没有这样的图像错误" 15
如何在Dockerfile中为ENTRYPOINT指定工作目录 14
我可以在虚拟机上使用Kinect API吗? 11
无法让 docker heltcheck 与 ECS Fargate v 1.4.0 一起使用 11
docker-compose 错误:FileNotFoundError:[Errno 2] 没有这样的文件或目录 8
在没有rbac问题的情况下在aks中部署nginx-ingress 7
在 redhat 8 上安装 docker-ce 7
错误(消息:找不到请求的集合元素.)Docker IIS 6
难疑归档
"px","dip","dp"和"sp"之间有什么区别? 5676
如何循环或枚举JavaScript对象? 2704
在JavaScript中创建多行字符串 2412
如何创建一个像链接一样的HTML按钮? 1769
如何将元素移动到另一个元素? 1611
什么是按位移位(位移)运算符以及它们如何工作? 1340
检查Bash shell脚本中是否存在输入参数 1223
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
如何删除旧的Docker容器 1162
将标签重新定义为4个空格 1041