Docker

Уровни изоляции

Уровень изоляции

Механизм

Примеры использования

Файловая система

Mount namespaces

Изоляция корневого каталога (/) между контейнерами

Процессы

PID namespaces

Каждый контейнер видит только свои процессы

Сеть

Network namespaces

У каждого контейнера свой IP, виртуальные сети

Ресурсы (память, ЦП)

cgroups

Ограничение использования памяти и ЦП

Пользователи и группы

User namespaces

Изоляция идентификаторов пользователей между контейнером и хостом

Межпроцессное взаимодействие

IPC namespaces

Изоляция семафоров и очередей сообщений

Время

Time namespaces

Разное системное время в контейнерах

Политики безопасности

SELinux (Security-Enhanced Linux)

Управление доступом к файлам и системным ресурсам на основе меток безопасности. Позволяет определять, к каким файлам и ресурсам контейнер имеет доступ.

Политики безопасности

AppArmor

Упрощает управление профилями безопасности. Контейнеры могут запускаться в ограниченных профилях, где доступ к определенным системным вызовам ограничен.

Ограничение системных вызовов

Seccomp (Secure Computing Mode)

Фильтрация системных вызовов, доступных контейнеру. Позволяет блокировать опасные системные вызовы, минимизируя риск компрометации системы.

Analyze files on images

ctr image pull registry.example.com/author/image:tag
mkdir rootfs
ctr image mount registry.example.com/author/image:tag rootfs

PreviousGitlab NextBashWars

Last updated 11 months ago

hashtagУровни изоляции

hashtagAnalyze files on images

Уровни изоляции

Analyze files on images