Docker
Уровни изоляции
Файловая система
Mount namespaces
Изоляция корневого каталога (/) между контейнерами
Процессы
PID namespaces
Каждый контейнер видит только свои процессы
Сеть
Network namespaces
У каждого контейнера свой IP, виртуальные сети
Ресурсы (память, ЦП)
cgroups
Ограничение использования памяти и ЦП
Пользователи и группы
User namespaces
Изоляция идентификаторов пользователей между контейнером и хостом
Межпроцессное взаимодействие
IPC namespaces
Изоляция семафоров и очередей сообщений
Время
Time namespaces
Разное системное время в контейнерах
Политики безопасности
SELinux (Security-Enhanced Linux)
Управление доступом к файлам и системным ресурсам на основе меток безопасности. Позволяет определять, к каким файлам и ресурсам контейнер имеет доступ.
Политики безопасности
AppArmor
Упрощает управление профилями безопасности. Контейнеры могут запускаться в ограниченных профилях, где доступ к определенным системным вызовам ограничен.
Ограничение системных вызовов
Seccomp (Secure Computing Mode)
Фильтрация системных вызовов, доступных контейнеру. Позволяет блокировать опасные системные вызовы, минимизируя риск компрометации системы.
Analyze files on images
ctr image pull registry.example.com/author/image:tag
mkdir rootfs
ctr image mount registry.example.com/author/image:tag rootfsLast updated