PDF《Docker简介》

32 位 ID. 4. mnt namespace 类似chroot,将一个进程放到一个特定的目录执行.mnt namespace允许不同 namespace的进程看到的文件结构不同,这样每个 namespace 中的进程所看 到的文件目录就被隔离开了.同chroot不同,每个namespace中的container 在/proc/mounts的信息只包含所在namespace的mount point. 5. uts namespace Docker-guide

11 隔离性 Linux namespace UTS( UNIX Time-sharing System ) namespace允许每个container拥有独立的 hostname和domain name, 使其在网络上可以被视作一个独立的节点而非Host 上的一个进程. 6. user namespace 每个container可以有不同的 user 和 group id, 也就是说可以在container内部用 container内部的用户执行程序而非Host上的用户. Docker-guide

12 隔离性 Linux namespace 控制组 - Control Groups (cgroups) 可配额、可度 量cgroups 实现了对资源的配额和度量. cgroups 的使用非常简单,提供类似文件的 接口,在 /cgroup目录下新建一个文件夹即可新建一个group,在此文件夹中新建 task文件,并将pid写入该文件,即可实现对该进程的资源控制.groups可以限制 blkio、cpu、cpuacct、cpuset、devices、freezer、memory、net_cls、ns九大子系 统的资源,以下是每个子系统的详细说明: blkio 这个子系统设置限制每个块设备的输入输出控制.例如:磁盘,光盘以及 usb等等. cpu 这个子系统使用调度程序为cgroup任务提供cpu的访问. cpuacct 产生cgroup任务的cpu资源报告. cpuset 如果是多核心的cpu,这个........