docker资源隔离实现方式

默认情况下，一个容器没有资源限制，几乎可以使用宿主主机的所有资源。
docker提供了控制内存、cpu、block io。但是实际上主要是namespace和cgroup控制资源的隔离。

Docker的隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的，在正常情况下，用户不会看见重复的PID。然而在Docker采用了Namespace，从而令相同的PID可于不同的Namespace中独立存在。如，A Container 之中PID=1是A程序，而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出看似是独立的空间，然而Linux内核（Kernel）却不能Namespace，所以即使有多个Container，所有的system call其实都是通过主机的内核处理，这便为Docker留下了不可否认的安全问题。

namespace（命名空间）可以隔离哪些

• 文件系统需要是被隔离的
• 网络也是需要被隔离的
• 进程间的通信也要被隔离
• 针对权限，用户和用户组也需要隔离
• 进程内的PID也需要与宿主机中的PID进行隔离
• 容器也要有自己的主机名
• 有了以上的隔离，我们认为一个容器可以与宿主机和其他容器是隔离开的。
• 恰巧Linux 的namespace可以做到这些。

使用Namespace进行容器的隔离有什么缺点呢？
　　最大的缺点就是隔离不彻底
　　1）容器知识运行在宿主机上的一种特殊的进程，那么多个容器之间使用的就还是同一个宿主机的操作系统内核
　　2）在Linux内核中，有很多资源和对象是不能被Namespace化的，最典型的例子是：时间即如果某个容器修改了时间，那整个宿主机的时间都会随之修改
　　3）容器给应用暴露出来的攻击面比较大，在生产环境中，没有人敢把运行在物理机上的Linux容器暴露在公网上

Linux的 cgroups
强大内核工具cgroups
cgroups是Linux的另外一个强大的内核工具，有了cgroups，不仅可以限制被namespace隔离起来的资源，还可以为资源设置权重、计算使用量、操控任务（进程或县城）启停等。说白了就是：cgroups可以限制、记录任务组所使用的物理资源（包括CPU，Memory，IO等），是构建Docker等一系列虚拟化管理工具的基石。

cgroups 的作用
　　cgroups 为不同用户层面的资源管理提供了一个统一接口，从单个的资源控制到操作系统层面的虚拟化，cgroups提供了4大功能。

• 资源限制

cgroups可以对任务使用的资源总额进行限制。
如 设定应用运行时使用的内存上限，一旦超过配额就发出OOM提示

• 优先级分配

通过分配的CPU时间片数量以及磁盘IO带宽大小，实际上就相当于控制了任务运行的优先级

• 资源统计

cgroups可以统计系统的资源使用量
如CPU使用时长，内存用量等，这个功能非常适用于计费

• 任务控制

cgroups 可以对任务进行挂起、恢复等操作