运行无 root Docker 利用了用户命名空间。该子系统提供跨进程的权限隔离和用户身份隔离
OCI,Open Container Initiative,是一个轻量级,开放的治理结构(项目),在 Linux 基金会的支持下成立,致力于围绕容器格式和运行时创建开放的行业标准。 OCI 目前提出的规范有如下这些:
| 名称 | 版本 |
|---|---|
| Runtime Specification | v1.0.1 |
| Image Format | v1.0.1 |
| Distribution Specification | v1.0.0-rc0 |
其中 runtime 和 image 的规范都已经正式发布,而 distribution 的还在工作之中。runtime 规范中介绍了如何运行解压缩到磁盘上的 Filesystem Bundle。在 OCI 标准下,运行一个容器的过程就是下载一个 OCI 的镜像,将其解压到某个 Filesystem Bundle 中,然后某个 OCI Runtime 就会运行这个 Bundle。细节此处不再展开,感兴趣的同学可以直接阅读 Spec。
cgroups(Control Groups)是 Linux 内核功能,用于对系统中的进程进行分组,并精细化限制、分配、监控和调度资源(如 CPU 时间、系统内存、网络带宽等)。它主要用于实现资源隔离,是 Docker、Kubernetes 等容器技术和系统管理工具的重要基础。
本文作者:曹永皓
本文链接:
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!