在本文中，我研讨了容器是如安在一些特别的 Linux 技能基础上完成的，这这中心还包含命名空间和操控组。

  命名空间namespace 为容器供给了一个阻隔层，给容器供给了一个看起来是独占的 Linux 文件体系的视图。这就约束了进程能拜访的内容，然后约束了它所能取得的资源。

  在创立容器时，Docker 或 Podman 和其他容器技能运用了 Linux 内核中的几个命名空间：

  用户(user)命名空间将用户和组阻隔在一个容器内。这是经过分配给容器与宿主体系有不同的 UID 和 GID 规模来完成的。用户命名空间使软件能够以 root 用户的身份在容器内运转。假如入侵者进犯容器，然后逃逸到宿主机上，他们就只能以受限的非 root 身份运转了。

  挂载(mnt)命名空间答应容器有自己的文件体系层次结构视图。你能够在 Linux 体系中的 /proc/ /mounts 方位找到每个容器进程的挂载点。

  Unix 分时体系Unix Timeharing System(UTS)命名空间答应容器具有一个仅有主机名和域名。当你运转一个容器时，即便运用 - name 标签，也会运用一个随机的 ID 作为主机名。你能够正常的运用 unshare 来了解一下这个作业原理。

  进程间通讯Inter-Process Communication(IPC)命名空间答应不同的容器进程之间，经过拜访同享内存或运用同享音讯行列来进行通讯。

  进程 IDProcess ID(PID)命名空间保证运转在容器内的进程与外部阻隔。当你在容器内运转 ps 时，因为这个命名空间阻隔的存在，你只能看到在容器内运转的进程，而不是在宿主机上。

  网络(net)命名空间答应容器有自己网络接口、IP 地址、路由表、端口号等视图。容器怎么能够与外部通讯?你创立的一切容器都会被附加到一个特别的虚拟网络接口上进行通讯。

  操控组(cgroup)是组成一个容器的根本模块。操控组会分配和约束容器所运用的资源，如 CPU、内存、网络 I/O 等。容器引擎会主动创立每种类型的操控组文件体系，并在容器运转时为每个容器设置配额。

  容器运转时为每个容器设置了操控组值，一切信息都存储在 /sys/fs/cgroup/*/docker。下面的指令将保证容器能够正常的运用 50000 微秒的 CPU 时刻片，并将内存的软、硬约束别离设置为 500M 和 1G。

  Seccomp 意思是“安全核算secure computing”。它是一项 Linux 功用，用于约束应用程序进行的体系调用的调集。例如，Docker 的默许 seccomp 配置文件禁用了大约 44 个体系调用(总计超越 300 个)。

  这儿的思路是让容器只拜访所有必要的资源。例如，假如你不需要容器改动主机上的时钟时刻，你或许不会运用 clock_adjtime 和 clock_settime 体系调用，屏蔽它们是合理的。同样地，你不期望容器改动内核模块，所以没有必要让它们运用 create_module、 delete_module 体系调用。

  SELinux 是“安全增强的 Linuxsecurity-enhanced Linux”的缩写。假如你在你的宿主机上运转的是 Red Hat 发行版，那么 SELinux 是默许启用的。SELinux 能够让你约束一个应用程序只能拜访它自己的文件，并阻挠任何其他进程拜访。因而，假如一个应用程序被破坏了，它将约束该应用程序能影响或操控的文件数量。经过为文件和进程设置上下文环境和界说战略来完成，这些战略将约束一个进程能够拜访和更改的内容。

  容器是当今 IT 基础设施的一个重要组成部分，也是一项适当风趣的技能。即便你的作业不直接触及容器化，了解一些根本的容器概念和办法，也能让你体会到它们怎么协助你的安排。容器是建立在开源的 Linux 技能之上的，这使它们变得更夸姣。

  来自 “ ITPUB博客 ” ，链接：，如需转载，请标示清晰出处，否则将追查法律责任。