首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

在由docker驱动的容器中隔离模块内核是可能的吗?

在由Docker驱动的容器中隔离模块内核是不可能的。Docker是一种容器化技术,它利用操作系统级虚拟化技术来实现应用程序的隔离。每个Docker容器都共享宿主机的操作系统内核,因此无法在容器内部隔离模块内核。

容器化技术的核心思想是将应用程序及其依赖项打包成一个独立的容器,以实现跨平台和可移植性。容器之间共享宿主机的操作系统内核,这样可以实现更高的资源利用率和更快的启动时间。但是,由于共享内核,容器之间的隔离性有限,容器内的应用程序可以访问宿主机上的所有内核模块。

如果需要更高级别的隔离,可以考虑使用虚拟机技术,如基于KVM的虚拟化。虚拟机可以提供更高级别的隔离,每个虚拟机都有自己独立的操作系统和内核。但是,虚拟机相对于容器来说更重量级,启动时间和资源利用率也较低。

总结起来,由Docker驱动的容器无法实现模块内核的隔离,但可以通过虚拟机等其他技术来实现更高级别的隔离。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

(译)为容器提供更好的隔离:沙箱容器技术概览

既然主流 IT 工业都在采用基于容器的基础设施(云原生方案),那么了解这一技术的短板就很重要了。Docker、LXC 以及 RKT 等传统容器都是共享主机操作系统核心的,因此不能称之为真正的沙箱。这些技术的资源利用率很高,但是受攻击面积和潜在的攻击影响都很大,在多租户的云环境中,不同客户的容器会被同样的进行编排,这种威胁就尤其明显。主机操作系统在为每个容器创建虚拟的用户空间时,不同容器之间的隔离是很薄弱的,这是造成上述问题的根本原因。基于这样的现状,真正的沙箱式容器,成为很多研发工作的焦点。多数方案都对容器之间的边界进行了重新架构,以增强隔离。本文覆盖了四个项目,分别来自于 IBM、Google、Amazon 以及 OpenStack,几个方案的目标是一致的:为容器提供更强的隔离。IBM Nabla 在 Unikernel 的基础上构建容器;Google 的 gVisor 为运行的容器创建一个特定的内核;Amazon 的 Firecracker 是一个超轻量级的沙箱应用管理程序;OpenStack 将容器置入特定的为容器编排平台优化的虚拟机之中。下面对几个方案的概述,有助于读者应对即将到来的转型机会。

03

比容器更轻更快的虚拟机

尽管容器技术在今天越来越被人接受,但是安全性依然是一个绕不开的问题,由于容器采用的是共享内核外加 cgroups 和 namespaces 等黑魔法的方式进行隔离注定了会有很多路径的 bug 导致隔离性问题,安全隐患依然存在。而不使用虚拟机的原因不外乎虚拟机启动太慢,额外开销太高,性能由于多了一层会下降。面对容器和虚拟机这两个极端,容器一方想把容器做的隔离性更好,虚拟化方面想把虚拟机做的更轻,结果 neclab 的一群人居然做到把虚拟机的启动速度做的比 Docker 还快,内存开销比 Docker 还小,这种反常识的事情居然发生了!他们把工作以 paper 的形式发表在了 SOSP'17 上,这篇文章会介绍下他们是动用了什么样的核武器达到了这样的效果。

02
领券