一. 引言：

大家都知道，在一台机器上，可以运行任意(根据系统资源)个容器实例。且各容器间是相互独立，不做任何关联的。那么，docker是通过什么方式来实现容器隔离的呢？接下来我们了解下。

二. 关于容器隔离机制：

容器的隔离机制是实现 “轻量级虚拟化” 的核心，通过Linux 内核原生技术与容器运行时（如 docker、containerd）的封装，在共享宿主机内核的同时，为每个容器提供独立的资源、网络、文件系统等环境，避免容器间相互干扰。其本质是 “在同一内核中为进程组划定资源与权限边界”，而非像虚拟机那样完全隔离操作系统。

主要分为一下三个大方向：

Namespace  可实现容器间的隔离
Cgroups    可限制容器的资源使用
Chroot     文件系统的隔离(挂载到物理根目录(文件系统)下的子目录(虚拟文件系统))

1. 关于namespace：

Linux 内核从版本 2.4.19 开始陆续引入了 namespace 的概念。其目的是将某个特定的全局系统资源（global system resource）通过抽象方法使得namespace 中的进程看起来拥有它们自己的隔离的全局系统资源实例。Linux 内核中实现了六种 namespace，按照引入的先后顺序，列表如下：

namespace	引入的相关内核版本	被隔离的全局系统资源	在容器语境下的隔离效果
Mount	Linux 2.4.19	文件系统挂接点	每个容器能看到不同的文件系统层次结构
UTS	Linux 2.6.19	主机名和域名	每个容器可以有自己的 hostname 和 domainame
IPC	Linux 2.6.19	System V IPC：消息队列，信号量，共享内存	每个容器有其自己的 System V IPC 和消息队列文件系统，因此，只有在同一个 IPC namespace 的进程之间才能互相通信
PID	Linux 2.6.24	进程 ID(编号)	每个 PID namespace 中的进程可以有其独立的 PID；每个容器可以有其 PID 为 1 的root 进程；也使得容器可以在不同的 host 之间迁移，因为 namespace 中的进程 ID 和 host 无关了。这也使得容器中的每个进程有两个PID：容器中的 PID 和 host 上的 PID。
Network	始于Linux 2.6.24 完成于 Linux 2.6.29	网络相关的系统资源	每个容器用有其独立的网络设备，IP 地址，IP 路由表，/proc/net 目录，端口号等等。这也使得一个 host 上多个容器内的同一个应用都绑定到各自容器的 80 端口上。
User	始于 Linux 2.6.23 完成于 Linux 3.8)	用户和组 ID 空间	在 user namespace 中的进程的用户和组 ID 可以和在 host 上不同；每个 container 可以有不同的 user 和 group id；一个 host 上的非特权用户可以成为 user namespace 中的特权用户；

Linux内核实现namespace的主要目的就是为了实现轻量级虚拟化（容器）服务。在同一个namespace下的进程可以感知彼此的变化，而对外界的进程一无所知。这样就可以让容器中的进程产生错觉，仿佛自己置身于一个独立的系统环境中，以此达到独立和隔离的目的。

2. Cgroups:

容器通过namespace机制实现了环境上的隔离。但只有运行环境隔离还不够，因为这些进程还是可以不受限制地使用系统资源，比如网络、磁盘、CPU以及内存等。一方面，是为了防止它占用了太多的资源而影响到其它进程；另一方面，在系统资源耗尽的时候，linux 内核会触发 OOM，这会让一些被杀掉的进程成了无辜的替死鬼。因此，为了让容器中的进程更加可控，Docker 使用 Linux cgroups 来限制容器中的进程允许使用的系统资源。

Linux Cgroup 可为系统中所运行任务（进程）的用户定义组群分配资源 — 比如 CPU 时间、系统内存、网络带宽或者这些资源的组合。可以监控您配置的 cgroup，拒绝 cgroup 访问某些资源，甚至在运行的系统中动态配置您的 cgroup。它以一组进程为目标进行系统资源分配和控制。

它主要提供了以下功能：

Resource limitation: 限制资源使用，比如内存使用上限以及文件系统的缓存限制。
Prioritization: 优先级控制，比如：CPU利用和磁盘IO吞吐。
Accounting: 资源统计，一些审计或一些统计，主要目的是为了计费。
Control: 进程控制，挂起进程，恢复执行进程。

使用 cgroup，系统管理员可更具体地控制对系统资源的分配、优先顺序、拒绝、管理和监控。可更好地根据任务和用户分配硬件资源，提高总体效率。在实际中，系统管理员一般会利用CGroup做下面这些事：

隔离一个进程集合（比如：nginx的所有进程），并限制他们所消费的资源，比如绑定CPU的核。
为这组进程分配其足够使用的内存
为这组进程分配相应的网络带宽和磁盘存储限制
限制访问某些设备（通过设置设备的白名单）

3. Chroot:

是容器的 “独立文件系统根目录”，通过分层挂载（UnionFS）实现，核心作用是：

1. 隔离性：容器内的/目录与宿主机完全独立，修改容器内文件（如/etc/passwd）不会影响宿主机。
2. 轻量性：采用 “基础镜像层 + 容器层” 的分层结构，多个容器可共享基础镜像层。
3. 一致性：每个容器启动时都基于相同的基础镜像，确保运行环境一致（避免 “本地能跑，线上跑不了”）。

关键技术： UnionFS（联合文件系统）

常用的 UnionFS 实现包括overlay2（Docker 默认）、aufs、btrfs等，以overlay2为例，其分层结构如下：

lowerdir：基础镜像层（可多层，如 “操作系统层 + Nginx 层”），仅可读；
upperdir：容器层，容器运行时的所有写操作（如创建 / 修改文件）都在这一层；
merged：容器内看到的 “根目录”，是lowerdir和upperdir的联合挂载结果；
workdir：临时工作目录，用于 UnionFS 的内部操作（用户不可见）。

三. 容器隔离 vs 虚拟机隔离：

对比维度	容器	虚拟机
隔离核心	共享宿主机内核，通过 namespace/cgroup 隔离进程	完全隔离操作系统（含内核），通过 hypervisor 虚拟化硬件
资源开销	轻量（MB 级内存，秒级启动），共享宿主机资源	重量级（GB 级内存，分钟级启动），每个 vm 需独立分配资源
安全性	较弱（共享内核，存在 “内核漏洞突破隔离” 风险）	较强（完全隔离内核，VM 内攻击难以影响宿主机）
兼容性	依赖宿主机内核版本（如容器内无法运行与宿主机内核不兼容的程序）	兼容性强（VM 内可运行任意操作系统，与宿主机内核无关）