如何将docker容器与其他用户隔离
将Docker容器与其他用户隔离的方法有以下几种:
- 命名空间(Namespaces):Docker使用Linux内核的命名空间功能来实现容器之间的隔离。命名空间可以将一组系统资源隔离在一个进程组中,使得每个容器都有自己独立的进程树、网络接口、文件系统挂载点等。常用的命名空间包括PID(进程ID)、NET(网络)、IPC(进程间通信)、UTS(主机名和域名)、MNT(文件系统挂载点)等。
- 控制组(Cgroups):Cgroups是Linux内核的一个功能,用于限制和隔离进程组的资源使用。Docker使用Cgroups来限制容器的CPU、内存、磁盘IO等资源的使用,确保容器之间不会相互干扰。
- 用户命名空间(User Namespaces):用户命名空间是一种特殊的命名空间,用于隔离用户和用户组的ID。通过使用用户命名空间,Docker可以将容器内部的用户映射到宿主机上的不同用户,从而实现容器内外用户的隔离。
- 安全增强型Linux(SELinux):SELinux是一种Linux内核的安全模块,可以提供更加细粒度的访问控制和隔离。Docker可以与SELinux集成,通过为容器分配不同的安全上下文,实现容器之间的隔离。
- 容器网络隔离:Docker提供了多种网络驱动,可以将容器连接到不同的网络中。通过使用不同的网络驱动和网络配置,可以实现容器之间的网络隔离,使得它们无法直接通信。
总结起来,Docker通过使用命名空间、控制组、用户命名空间、SELinux和容器网络隔离等技术手段,实现了容器与其他用户的隔离。这种隔离能够确保容器之间的应用、进程、资源和网络完全独立,提高了安全性和可靠性。
腾讯云相关产品推荐:
- 腾讯云容器服务(Tencent Kubernetes Engine,TKE):提供了基于Kubernetes的容器编排和管理服务,支持自动化部署、弹性伸缩、负载均衡等功能。详情请参考:https://cloud.tencent.com/product/tke
- 腾讯云云服务器(CVM):提供了弹性、安全、高性能的云服务器实例,可用于部署和运行Docker容器。详情请参考:https://cloud.tencent.com/product/cvm
- 腾讯云私有网络(Virtual Private Cloud,VPC):提供了隔离的虚拟网络环境,可用于容器之间的网络隔离和通信。详情请参考:https://cloud.tencent.com/product/vpc
相关·内容
2回答
我最近在玩码头容器。我已经设置了一个docker主机,用户是docker组的一部分,这样他们就可以自己启动容器了。但是在这个场景中,用户A启动的容器可以由用户B访问。因此,我正在寻找一种方法来将用户容器与其他用户隔离开来,并尝试向docker run命令添加-u标志,但得到了以下错误
FATA[0001] Error response from daemon: Cannot start container XXXXX: [8] System error: Unable to find user abc
同样的命令也适用于带-u标志的命令
主机上确实存在用户abc,但不确定这里缺少什么。
有人
浏览 22提问于2016-08-01得票数 1
回答已采纳
2回答
我使用Docker for Windows,使用owncloud容器,并且我在docker-compose.yml上设置共享卷,以便持久化数据。从我的docker-compose.yml中提取
` owncloud:
image: jobel/owncloud:1.1
links:
- db:db
ports:
- 8002:80
volumes:
- f:/Program Files/Docker/Docker VM/owncloudconfig:/var/www/html
- f:/Program Files/Docker/Docker
浏览 3提问于2018-01-13得票数 1
回答已采纳
我启动了一个名为so的容器。我想在容器中调试bash脚本,所以我在容器中安装了bashdb。是我开始的:
root@f8693085f270:/# /usr/share/bin/bashdb docker-entrypoint.sh postgres
我返回到主机,并执行以下操作:
[eric@almond volume]$ docker exec -ti pg bash
root@f8693085f270:/# ps ajxw
PPID PID PGID SID TTY TPGID STAT UID TIME COMMAND
0 1 1
浏览 24提问于2016-08-10得票数 0
docker-compose.yml:
version: '3'
services:
ezmove:
volumes:
- /host-dir:/home/container-dir
build:
context: .
args:
BRANCH: develop
Dockerfile:
FROM appcontainers/ubuntu:xenial
MAINTAINER user <user>
RUN apt-
浏览 0提问于2017-10-31得票数 0
回答已采纳
我们在Digital Ocean App Engine上运行Docker,不能向docker run传递标志(例如--cpus)。
我们也不能使用docker-compose。
是否可以设置一个环境变量(ARG?ENV?),例如$CPUS=blah),可以被Docker实例拾取?
换句话说,有没有对应于特定标志的内部环境变量,可以通过Dockerfile /环境本身设置?
浏览 2提问于2021-07-01得票数 0
1回答
我在windows10上使用docker桌面,我下载了windows server core 1909的镜像。
然后从同一图像创建了两个容器。
Docker运行windows mcr.microsoft.com/ -it /servercore:1909 powershell.exe
当我在这两个操作系统上运行sysinfo时,它为两个操作系统提供了不同的主机名。
怎样才能看到内核是共享的?因为我看到这是两个不同的虚拟机,与核心操作系统的hyper-v虚拟机没有什么不同。
我认为docker容器共享一个内核,但我看不到下面是相同的操作系统?
有什么想法吗?
浏览 1提问于2020-04-06得票数 0
我想将Docker容器中的一个文件复制到localhost。
我知道命令是
docker cp <container id>:<container path> <host path>
但此命令仅在您处于容器外部时才起作用。
我想在Docker容器的镜像运行时从Docker容器复制文件:我可以在将文件从Docker容器复制到主机的入口点脚本中包含什么?
浏览 1提问于2018-06-21得票数 0
1回答
Docker不是VM,所以它只运行操作系统本身的应用程序,对吗?这是否意味着只运行.exe文件?那么,对于Windows和Linux的Docker容器,它们有什么共同之处呢?容器是否以任何方式在不同的操作系统上可重用?
浏览 2提问于2018-09-04得票数 3
1回答
关于何时使用Docker而不是VM,有什么指导原则吗?(反之亦然)
在我看来,像NGINX、Apache或Redis这样的服务应该是docker,但我不确定是否应该在高性能计算环境中使用ElasticSearch docker。
Docker总是比VM更好吗?
浏览 3提问于2019-08-21得票数 0
我让postgres在默认容器网络中运行,因为它使用docker命令运行。而且,我们的webapp运行在同一台服务器上,但作为一个坞-撰写服务。因此,有一个独立的桥梁网络为这自动创建。
如何将自定义网络中创建的停靠-组合服务创建的web应用程序容器连接到默认网络中使用docker命令创建的postgres数据库?
我试过使用本地主机,host.docker.internal都不能工作。主机的局域网连接IP正在工作,但是如果我运行在另一台服务器上,它可能会改变,所以没有用。
浏览 0提问于2021-06-23得票数 0
博士:我怎么做文件I/O +参数-传递与码头?或者我应该放弃使用像脚本这样的容器吗?
我试图学习对接,我有一个困难的时间与一些普通的I/O和论点传递的情况的最低限度的例子。我看过了很多StackOverflow内容,比如和Docker文档,但是这似乎太简单了,没有人愿意去回答它。最接近的是,但答案并没有帮助,而且大部分似乎都说“不要用Docker做这件事”。但是人们似乎在谈论容器,就好像他们可以在独立的应用程序中做这种事情一样。
简单地说,在Docker中,似乎所有的I/O路径都需要硬编码,但我希望这些路径具有灵活性,因为我希望尽可能灵活地使用容器。
在某些情况下,人们通过让容器闲置,然后向其
浏览 2提问于2021-01-13得票数 0
2回答
理解不同的码头组件
、、、
我有非常简单的理论问题。我们在VirtualBox中使用了Docker,在、和Mac正式发布之前。在Virtual中,我们获得一个VM并使用docker-machine命令管理它,而如果我们使用和Mac,则通常不使用docker-machine。现在,请注意这两个版本:
什么是Docker主机以及它在这两个版本中都做了什么?
如果我们在Windows中使用Docker,那么Docker客户端现在被称为Windows上的任何终端?(我们现在是否需要将终端配置为Docker客户端来管理我们的容器?)
在这两个版本中,Docker引擎和Docker Daemon是相同的还是不同的?
浏览 9提问于2016-08-28得票数 1
回答已采纳
1回答
我想访问在url:"xyz“(远程主机)上运行的mongo db,并且在我的spring boot应用程序属性中,我已经将mongodb的url提到为"xyz”。现在,当我在docker容器中运行此应用程序时,它无法连接到远程url,并显示连接被拒绝错误。我们如何从容器内部访问远程数据库?
下面是我的DockerFile
FROM openjdk:8-jdk-alpine
RUN apk add --no-cache bash
RUN apk add --no-cache curl
EXPOSE 8090
COPY target/<jar file> /applic
浏览 25提问于2018-08-27得票数 2
我有一台电脑,目前托管的是zookeeper和kafka服务器。
在同一台机器上,我还有一个使用发送到本地kafka服务器的消息的脚本。如果我直接运行消费者脚本,它就可以正常工作。
我想从docker容器内部运行使用者脚本。
我已经成功地构建并运行了一个运行消费者脚本的容器,但它将永远等待kafka消息。
如何将kafka消息重定向到容器中?唯一的方法是直接在容器中托管zookeeper和kafka服务器吗?
浏览 17提问于2020-02-21得票数 0
回答已采纳
我的主机上有一个postgres服务器,我想创建一个连接到这个postgres服务器的docker容器。
因此,我想我需要将连接IP:5432上的postgres服务器公开给docker。在docker上暴露5432,并在docker内部指定正确的连接信息,如下所示:
SQLALCHEMY_DATABASE_URI = "postgresql+psycopg2://username:password@IP/db_name"
主机坞站IP包括:
docker0 Link encap:Ethernet HWaddr 02:42:b3:d9:eb:e2
浏览 2提问于2019-06-05得票数 0
1回答
我正在尝试学习关于容器(这里是Docker)的基础知识。据我从Docker文档和一些阅读材料中了解到,Docker基本上是通过使用 (以前使用)运行容器来提供隔离的。无论哪种方式,它都使用与主机相同的内核。因此,容器镜像需要与主机内核兼容。我发现这与的功能非常相似。有人能给我解释一下使用Docker而不是chroot有什么不同和/或优点吗?(除了Docker提供的打包、docker-hub等附加功能,以及Docker提供的所有优秀功能)
浏览 2提问于2017-09-27得票数 66
回答已采纳
1回答
我正在尝试使用卷。 我创建了一个可以读取和写入文件的应用程序。 如果我像这样运行它(没有卷): docker run -p 3000:3000 hello-express 或者如果我像这样运行它(使用卷): docker run -p 3000:3000 -v myvol:/myvol hello-express 我得到了相同的结果:在我停止并启动contianer之后,数据被持久化,但在我删除容器并再次运行它之后,它被删除了。 所以这里出了点问题。
浏览 23提问于2019-07-03得票数 0
回答已采纳
1回答
除了套接字/网络外,是否有其他方式在码头集装箱之间进行通信?可能是IPC或其他一些方法。这可行吗?
我读过docker文档,其中说我们可以使用--link选项链接码头容器,但是它并没有说明如何将数据/msg从一个容器传输到另一个容器。我已经创建了一个名为checkram的容器。现在,我想将一个新容器链接到这个容器,然后运行docker run -i -t --privileged --link=checkram:linkcheck --name linkcont topimg命令。然后在包含LINKCHECK_PORT的linkcont容器中检查env变量tcp://172.17.0.14:2
浏览 0提问于2014-10-31得票数 4
我正在努力使下列设置正常工作:
--我的本地机器OS = Linux --我正在这个本地机器上构建一个容器,我计划在容器中为数据库添加种子,然后对这个容器(我也会在linux机器上旋转)在本地运行测试(我也会在linux机器上旋转)。
不幸的是,当运行我的测试并试图连接到容器时,默认的bridge网络网关IP是不可访问的。
我的docker-compose.yaml文件如下
version: "3.4"
services:
integration-test-mysql:
image: mysql:8.0
container_name: ${MY_SQL_C
浏览 5提问于2022-09-28得票数 0
回答已采纳
1回答
我可以使用docker创建虚拟服务器环境吗?
因此,我需要一切分离,谁将获得root ssh访问服务器,并将安装,例如cpanel/whm和其他软件,并完全作为单独的虚拟机运行的用户。
我看到了centos的docker镜像,所以我现在需要关于如何启动Docker的信息,如何将我的额外ip地址映射到docker容器,以及如何设置ssh和其他所有内容。
虚拟机用户无法访问根服务器。
出于好奇,我想知道如果你没有额外的ip地址,并且你需要在运行nginx,mysql等的docker容器中运行虚拟服务器,你将如何实现这一点?
我认为您可以将其他端口绑定到内部docker端口,如8180 ->
浏览 2提问于2015-03-11得票数 0
1回答
我用来旋转领事容器的码头指令-
为容器1= docker network create --subnet=172.18.0.0/16 C1创建静态Ip
经营领事集装箱到该叶问:
docker run -d --net C1 --ip 172.18.0.10 -p 48301:8301/tcp -p 48400:8400/tcp -p 48600:8600/tcp -p 48300:8300/tcp -p 48302:8302/tcp -p 48302:8302/udp -p 48500:8500/tcp -p 48600:8600/udp -p 48301:8301/udp --n
浏览 3提问于2016-11-07得票数 0
回答已采纳
根据下面的屏幕截图,我了解Windows 10专业人员已经提供了一些容器特性或支持。
但是,当我阅读Windows 10容器培训文档(包括 )时,它们都需要在Windows 10上安装Docker。
上面屏幕截图中显示的Windows 10容器特性包括了什么,为什么我需要Windows的Docker?
浏览 0提问于2019-01-07得票数 3
回答已采纳
1回答
我已经在我的CentOS机器上安装了docker。我想使用已安装的docker进行连续部署。我有Gitlab来运行CI/CD。我想将我的代码部署到我的docker中。但是,我找不到我的docker网络。我应该使用哪个端口?我的机器有公网IP。
谢谢
诚挚的问候
浏览 11提问于2017-07-17得票数 0
在创建Codebuild项目时,可以在工件部分配置缓存以加快后续构建。
Docker layer cache是其中一种选择。AWS文档说:
LOCAL_DOCKER_LAYER_CACHE模式缓存现有的码头层。对于构建或拉出大型Docker映像的项目,此模式是一个很好的选择。它可以防止从网络中提取大型Docker图像所造成的性能问题。
备注
您只能在Linux环境中使用Docker层缓存。
必须设置特权标志,以便项目具有所需的Docker权限。
在使用Docker层缓存之前,您应该考虑安全性问题.
问题是:这些对安全的影响是什么?
浏览 1提问于2019-04-25得票数 8
1回答
码头集装箱粒度
、、、、
在使用Docker设计应用程序基础结构和体系结构时,最好为每个“服务”创建一个容器,还是为“服务”内的每个进程创建多个容器?
例如,使用Nginx、PHP、Redis、MySQL和ElasticSearch的分布式PHP应用程序。
服务容器:
Nginx + App +PHP(完整的app作为“服务”容器)
Redis
MySQL
加工容器:
Nginx
应用程序
Redis
MySQL
在我看来,使用“服务”容器方法似乎更易于维护,因为为每个流程管理如此多的离散容器可能变得非常麻烦。
浏览 3提问于2015-12-04得票数 3
我正在为我的构建工作一个jenkins ssh代理,我想安装docker,这样它就可以运行并构建docker镜像。
目前,我的Dockerfile中包含以下内容
RUN curl -fsSL get.docker.com -o /opt/get-docker.sh
RUN chmod +x /opt/get-docker.sh
RUN sh /opt/get-docker.sh
当我用docker运行docker时,这很好用。
docker run <image> -v /var/run/docker.sock:/var/run/docker.sock
我遇到的问题是,当我在容器中
浏览 14提问于2018-09-08得票数 0
假设我有一个docker镜像,并将其部署在某个服务器上。但我不希望其他用户访问此图像。有没有加密docker镜像的好方法?
浏览 3提问于2016-06-02得票数 14
回答已采纳
我想知道在同一台机器上运行来自不同客户的容器是否安全。基本上,我只是在调查Docker单独提供的隔离/安全级别。
然后我发现了Google运行,我想知道以下哪一项是正确的:
它是否仅依赖于Docker隔离,并在相同的节点上运行不同客户的容器?在这种情况下,我最初问题的答案是“是的,码头集装箱隔离度很高,甚至谷歌也依赖于此”。
它是否在VM内运行Docker容器(用KVM创建),并且每个VM只用于特定的客户?在这种情况下,我最初问题的答案将是“否”,但我也会有额外的疑问(即Google如何立即创建/破坏整个VM,对于每一个请求.这似乎是一项不可能的工作)。
我认为同样的问题也适用于其他没有服务器
浏览 0提问于2020-04-15得票数 1
回答已采纳
2回答
码头与虚拟化
、、
我试图了解码头的下划线建筑。随处可见的图表声称,与虚拟化技术(如"VirtualBox“)不同,Docker直接使用主机的操作系统,只提供应用程序和依赖项(如库等)。现在,根据我在Docker中所看到的,每个映像都包含一个操作系统。它以一个FROM <os-image>标记开始。这和人们所说的不矛盾吗?请给我建议。
浏览 0提问于2022-04-20得票数 4
回答已采纳
我已经用docker启动了一个ubuntu 16.04的docker镜像。我正在尝试“嵌入式”docker,这意味着我试图在这个ubuntu中安装docker。看起来ubuntu docker镜像(最新版本)有一些"bus“问题,如下所示:
root@xxxxxx:/# service docker start
* Starting Docker: docker [ OK ]
root@xxxxxx:/# ps -ef
UID PID PPID C STIME TTY T
浏览 27提问于2017-03-13得票数 0
回答已采纳
我有一个库,我通过发布dll来提供给其他人。我听说过docker,并认为使用它可能是一件好事,因为我的库正在使用其他库,并且通过提供docker镜像,我不必强迫我的库的使用者安装python,这样我的库才能工作(还有其他原因说明docker是一个好的选择)。关键是我的dll正在使用我想要控制的“环境资源”,因此是docker。
我对docker的新手理解是,人们使用它来运行应用程序或进程。我很难找到关于只包含一个共享动态库(在我的例子中是dll)的信息。
所以我的问题是:是否有可能创建一个包含dll的docker容器,以便最终用户(位于docker容器之外)可以链接到dll (在容器内)?
浏览 0提问于2019-01-16得票数 1
这可能在其他地方有答案,但我找不到。
我有一个Python 3.x的Docker镜像:
$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
python latest 26acbad26a2c 2 months ago 690MB
我使用以下命令运行镜像:
$ docker run -i -t python
然而,从Docker容器内部,我希望能够访问我的本地文件系统
浏览 1提问于2017-11-24得票数 0
1回答
我正在尝试连接到Cassandra容器,并通过自己构建的另一个容器将数据插入到数据库中。我运行卡桑德拉集装箱
docker pull Cassandra
docker run --name some-cassandra -p 9042:9042 -d cassandra:latest"
下面是我在python程序中试图连接到Cassandra的代码。
cluster = Cluster(contact_points=['127.0.0.1'],port=9042)
session = cluster.connect()
如果我直接在我的Mac上运行这个程序,它就会连接,
浏览 0提问于2019-02-26得票数 1
回答已采纳
我目前正在学习码头的基本知识。我已经了解到,当容器需要连接到主机(假设我有一个本地mysql数据库)时,它必须使用localhost作为域,而不是使用host.docker.internal。
所以,与之不同的是:
createConnection(
host: "localhost",
...
)
我会这么做:
createConnection(
host: "host.docker.internal",
...
)
我想我理解为什么会出现这种情况,但我只想澄清为什么docker不理解localhost的含义,以及为什么必须用host.docker.i
浏览 0提问于2021-12-02得票数 1
回答已采纳
1回答
我设置了一个由4个容器组成的容器,它们需要相互交谈,其中两个容器需要连接到外部数据库。
我开始和作曲家合作,把一切联系在一起。
容器可以在没有很多问题的情况下互相交谈,但是它们无法连接到外部数据库。
外部DB已经启动并运行,我可以通过shell轻松地连接到它。
坞-组合文件如下所示:
version: "3"
services:
bridge:
# version => 2.1.4
build: ./lora-gateway-bridge
ports:
- "1680/udp:1700/udp"
li
浏览 2提问于2017-05-03得票数 27
这是一个初学者的问题,但我开始学习有关docker以及如何将每个容器与另一个容器隔离。
在课程中的一个例子中,视频中说,对接的好处是我们可以忽略依赖冲突,所以如果我们有需要dependency A v1.0的dependency A v1.0和需要dependency A v2.0的image B,那么它就像在码头图像中指定它一样简单,我们不需要担心版本等方面的冲突。
现在我的问题是:
当我运行容器时,这些依赖项是在哪里安装的?例如,如果我的主机没有dependency A,那么当我运行需要它的码头容器时,它在哪里安装它才能运行容器?如果安装了,它是否只与那个码头容器隔离?如果我想在我的主机上
浏览 0提问于2020-01-23得票数 7
回答已采纳
我在Docker容器中运行了一个进程(基本图像-Ubuntu18.04)。是否可以使用主机的内核进程(运行Ubuntu18.04)设置Netlink套接字?实现这一目标的途径是什么?
Docker客户端:版本: 20.10.7
Docker Server:版本: 20.10.7
浏览 8提问于2022-05-26得票数 0
如果Docker社区在windows上运行,那么它为什么需要Hyper-v?也就是说,本机不意味着Docker可以在windows上运行指令吗?在我看来,它似乎仍然启动了Linux并运行在-in中。
在我看来,Docker工具箱使用的是运行linux的oracle超级管理程序,而Docker社区则使用运行linux的Hyper-V。我忽略了另一个重要的区别吗?
这是正确的吗?我是否理解了“土生土长”这个词是错的,是码头工人误用了这个词,还是我遗漏了其他方面?
我之所以问这个问题,是因为我注意到你没有在社区版中使用Docker,我想知道为什么会这样。码头机是在窗户上本地运行的东西,而码头引擎不是
浏览 4提问于2018-01-14得票数 65
回答已采纳
背景:我想了解对接器容器网络与iptables之间的关系,并大致了解数据包如何从eth0接口(容器中)、通过默认桥docker0接口和主机上的网络接口流动。目前,我很难理解默认码头容器网络的filter规则和链。没有运行任何容器,命令sudo iptables -t filter -L -v -n显示
$ sudo iptables -t filter -L -v -n
Chain INPUT (policy ACCEPT 108K packets, 12M bytes)
pkts bytes target prot opt in out source
浏览 0提问于2023-05-04得票数 0
回答已采纳
我现在才开始使用docker。
我用python2.7制作了一个python应用程序。Python代码文件在我的系统和bitbucket存储库中。我能够通过eclipse在我的本地系统中运行该文件。
现在,我将如何在docker中运行这些文件并将python应用程序分发给其他用户(不想显示代码)。
我可以帮助我用简单的语言解释这些步骤
浏览 3提问于2014-11-16得票数 1
你能给我一个指南或图表来理解其中的区别吗?
我问这个问题的原因是我不能用以下方法打开网站:
docker network create -d bridge mybridge
docker run -d --net mybridge --name db redis
docker run -d --net mybridge -e DB=db -p 8000:5000 --name web chrch/web
但是我可以用下面的方法打开网站:
docker run --rm -d --network host --name my_nginx nginx
我使用google cloud plat
浏览 1提问于2019-06-30得票数 12
回答已采纳
我已经从ubuntu镜像创建了一个docker容器。其他用户可以通过docker exec -it CONTAINER_ID bash附加到此容器。有没有办法为这个命令添加用户名和密码?我不希望我的容器被其他用户访问。我希望当用户执行docker exec命令连接到我的容器时,它会提示询问用户名和密码。用户只有在输入正确的用户名和密码后才能附加到它。就像ssh做的那样。
浏览 1提问于2017-12-30得票数 2
关于安全的问题。我希望允许非根用户在集群上部署容器,如果他们能够挂载主机目录,然后升级到容器内的根权限,我会很担心。我从下面的文章中了解到,将容器根用户映射到主机-非根用户的功能仍然存在吗?这篇文章本身似乎比较古老,我很想知道这些特性是如何开发的。
“由于新的用户名称空间,Linux名称空间最近的改进将允许运行功能齐全的容器,这要归功于新的用户名称空间。这一点将在这里详细讨论。此外,这将解决主机和来宾之间共享文件系统所造成的问题,因为用户名称空间允许容器内的用户(包括根用户)映射到主机系统中的其他用户。
因此,Docker的最终目标是实施两项额外的安全改进:
1)将容器的根用户映射到Dock
浏览 1提问于2014-12-16得票数 2
回答已采纳
1回答
所以他们说,Docker是不同的,因为它不使用Guest,而是使用Host。
同时,他们自己在DockerFiles中也包括了Guest作为基本图像。
要么他们有双重性格,要么我不聪明。我搞错什么了?
浏览 5提问于2022-03-18得票数 0
我刚刚读到了问的好问题。然而,被接受的答案让我想要的只是一点点。
我有点理解容器(Docker/LXC --我没有区别)使用libcontainer和AuFS,这样就可以让几十个、数百个甚至数千个容器共享相同的CPU、RAM和磁盘资源。但是,答案仍然不能确切地解释是什么“容器”!
容器是否只是运行此libcontainer的实例?它是一个使用libcontainer的应用程序吗?是像服务/守护进程这样的Linuxy进程吗?所以我问:
究竟什么是是“容器”?
在同一个VM/物理中,多个容器可以共享的精确的计算/系统资源是什么?
Docker/LXC是容器方程中的"hyperv
浏览 2提问于2015-01-22得票数 6
回答已采纳
1回答
Amazon提供服务来维护(dockeri.e)在EC2实例上工作的容器服务。
据我所知,在一个简单的服务器上,如果您有5个容器运行相同的OSs作为基础,例如,docker不会为操作系统本身侵入单独的资源5次。尽管有5个单独的容器,相同的资源被保存在记忆中一次。
因此,如果我使用AWS EC2容器服务,是否仍然具有相同的优势?在某种程度上,看起来AWS基础设施应该已经在其他用户下拥有相同的基础OSs。在某种程度上,他们可能不会给你这样的优势:每个码头工人假装是唯一在单独的机器上运行的容器。
有什么想法吗?
浏览 0提问于2015-10-23得票数 1
1回答
我计划提供有限的ssh访问的备份服务。
到目前为止,我认为最好的解决方案是使用chroot,只允许访问某些命令,如: cd、mkdir、mv、rm、rsync、sftp等,并将主目录挂载为noexec。
我计划在7点系统上做这件事。
恶意客户是否有可能突破chroot系统,入侵其他用户的数据或制造其他问题?还有其他安全考虑吗?
浏览 0提问于2016-11-15得票数 2
首先,对于一些上下文:我正在使用.NetCore开发一个具有标识的应用程序接口。一切都在云服务器上,在Docker中。创建用户时,将使用邮件套件和webmail服务器通过Plesk (托管在同一台计算机上)向新用户发送电子邮件。通过Apache使用从子域到本地主机上的端口的ProxyPass通过重定向来访问docker。 通过JetBrain的Rider调试时,一切都很好,但它无法处理服务器上docker中的电子邮件。 下面是堆栈: System.Net.Internals.SocketExceptionFactory+ExtendedSocketException (00000001, 1
浏览 153提问于2020-11-10得票数 2
回答已采纳
我想将家庭资源与工作资源分开,比如<change to namespace work>,然后: docker container ls -打印工作名称空间中的容器 docker container run -在工作命名空间中运行容器 我尝试使用docker上下文,但它看起来有不同的目标。
浏览 16提问于2020-11-16得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
