docker 以進程為核心, 對系統(tǒng)資源進行隔離使用的管理工具. 隔離是通過 cgroups (control groups 進程控制組) 這個操作系統(tǒng)內(nèi)核特性來實現(xiàn)的. 包括用戶的參數(shù)限制、 帳戶管理、 資源(CPU,內(nèi)存,磁盤I/O,網(wǎng)絡(luò))使用的隔離等. docker 在運行時可以為容器內(nèi)進程指定用戶和組. 沒有指定時默認是 root .但因為隔離的原因, 并不會因此喪失安全性. 傳統(tǒng)上, 特定的應用都以特定的用戶來運行, 在容器內(nèi)進程指定運行程序的所屬用戶或組并不需要在 host 中事先創(chuàng)建.

成都地區(qū)優(yōu)秀IDC服務器托管提供商(創(chuàng)新互聯(lián)).為客戶提供專業(yè)的成都服務器托管,四川各地服務器托管,成都服務器托管、多線服務器托管.托管咨詢專線：028-86922220

進程控制組cgroups主要可能做以下幾件事:

• 資源限制 組可以設(shè)置為不超過配置的內(nèi)存限制, 其中還包括文件系統(tǒng)緩存
• 優(yōu)先級 某些組可能會獲得更大的 CPU 利用率份額或磁盤 i/o 吞吐量
• 帳號會計 度量組的資源使用情況, 例如, 用于計費的目的
• 控制 凍結(jié)組進程, 設(shè)置進程的檢查點和重新啟動

與 cgroups(控制進程組) 相關(guān)聯(lián)的概念是 namespaces (命令空間).

命名空間主要有六種名稱隔離類型:

• PID 命名空間為進程標識符 (PIDs) 的分配、進程列表及其詳細信息提供了隔離。
  

雖然新命名空間與其他同級對象隔離, 但其 "父 " 命名空間中的進程仍會看到子命名空間中的所有進程 (盡管具有不同的 PID 編號)。

• 網(wǎng)絡(luò)命名空間隔離網(wǎng)絡(luò)接口控制器 (物理或虛擬)、iptables 防火墻規(guī)則、路由表等。網(wǎng)絡(luò)命名空間可以使用 "veth " 虛擬以太網(wǎng)設(shè)備彼此連接。
• UTS 命名空間允許更改主機名。
• mount(裝載)命名空間允許創(chuàng)建不同的文件系統(tǒng)布局, 或使某些裝入點為只讀。
• IPC 命名空間將 System V 的進程間通信通過命名空間隔離開來。
• 用戶命名空間將用戶 id 通過命名空間隔離開來。

普通用戶 docker run 容器內(nèi) root

如 busybox, 可以在 docker 容器中以 root 身份運行軟件. 但 docker 容器本身仍以普通用戶執(zhí)行.

考慮這樣的情況

echo test | docker run -i busybox cat

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網(wǎng)站名稱：Docker運行時的用戶與組管理的方法-創(chuàng)新互聯(lián)
網(wǎng)頁路徑：http://jinyejixie.com/article14/gigge.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、云服務器、搜索引擎優(yōu)化、自適應網(wǎng)站、企業(yè)網(wǎng)站制作、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)