1.为什么要隔离
Docker 需要进行隔离主要是为了实现容器化的核心目标,即将应用程序及其依赖项打包为独立的容器,使其在不同环境中能够一致运行。隔离带来了许多好处,有助于改善开发、部署和管理应用程序的流程,同时提供更高的安全性和资源管理效率。
2.底层隔离机制
1.namespace ,命名空间是Linux内核提供的一种隔离机制,用于隔离不同进程的资源视图,使得它们看起来像是在独立的环境中运行,每个命名空间提供了一种资源的隔离,例如进程id、网络、文件系统、主机名等。
Docker使用不同的命名空间来实现容器之间的隔离,如PID命令空间、Network命名空间、Mount命名空间、UTS命名空间等。这使得容器内的进程能独立运行,而不会干扰其他容器。
2.cgroups,全称为Control Group,控制组是 Linux 内核功能,用于限制和隔离进程组的资源使用。cgroups 允许将一组进程绑定到一组资源限制,如 CPU、内存、磁盘和网络带宽等。
3.LXC,LXC 的核心思想是使用 Linux 内核的命名空间(Namespaces)和控制组(cgroups)功能来实现容器的隔离和资源管理。这使得每个容器都有自己的进程空间、网络空间、文件系统空间等,从而达到与传统虚拟机相似的隔离效果,但在更低的性能开销下实现。
3.Docker的网络类型
Docker 提供了多种网络模式,用于控制容器之间以及容器与外部网络之间的通信。每种网络模式都具有不同的特点和适用场景。以下是一些常见的 Docker 网络模式:
-
桥接模式(Bridge): 这是 Docker 默认的网络模式。在桥接模式下,Docker 主机会创建一个名为 "docker0" 的虚拟网络桥,每个容器都连接到该桥接口。容器之间可以相互通信,而且可以通过主机的网络接口与外部通信。这种模式适用于需要隔离容器,同时又希望容器能够与外部网络通信的场景。
-
主机模式(Host): 在主机模式下,容器直接使用主机的网络栈,与主机共享网络命名空间。这意味着容器的网络与主机完全相同,容器可以访问主机上的所有网络服务。主机模式适用于需要最大网络性能的情况,但会降低容器的隔离性。
-
无网络模式(None): 在无网络模式下,容器没有自己的网络接口,也无法与外部网络通信。这种模式适用于一些特殊场景,例如在容器内部执行一些与网络无关的任务。
-
Container模式(Container):这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace,而不是和宿主机共享。新创建的容器不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信。
-
Overlay 模式(Overlay): Overlay 网络模式用于在多个 Docker 主机之间创建跨主机的容器网络,通常用于构建分布式应用程序。这个模式实现了容器在不同主机上的通信。
每种网络模式都有其适用的场景和优劣势,选择合适的网络模式取决于应用的程序要求和设计目标。