pumpkin84514的博客

简单来说，K8s 就是一个“容器管家”，负责确保你的应用程序能够在容器中高效地运行，无论是部署 1 个容器，还是部署 1000 个容器，它都能轻松管理。Pod 就像一个“工作组”，里面的容器（成员）一起协作完成某个任务。控制器就像一个“巡逻队”，不断检查有没有厨师罢工（Pod 挂掉）或者顾客需求变化，然后调整人员安排。节点就是一个“厨房”，负责给厨师（Pod）提供工作环境。服务就像一个“接待员”，负责把顾客的订单（请求）送到正确的厨师（Pod）。主节点是“指挥中心”，工作节点是“干活的工人”。

是一种由 Google 开发的容器沙盒技术，旨在为容器提供更强的隔离和安全性。它通过模拟 Linux 内核的方式，拦截并控制容器发出的系统调用，让容器与宿主机之间形成一个“安全缓冲层”。如果传统容器是直接和宿主机的内核打交道，那么 gVisor 就像一个“中间人”，用它自己的方式管理容器的操作，从而保护宿主机的安全。

如果 Kubernetes 是一位“调度员”，Kata Containers 就是它的新手下，可以像 Docker 一样执行 Kubernetes 的指令，同时提供更高的安全性。是一种结合了容器技术和虚拟机技术的轻量级运行时，旨在提供容器的速度和虚拟机的安全性。它将容器运行在一个隔离的虚拟机中，从而大幅提升安全性，同时保持容器的高效性。的目标是结合容器的效率和虚拟机的安全性，为用户提供一种高效且安全的容器运行时。它继承了这两个项目的特点，特别是 runV 的功能，提供了一种兼具安全和性能的容器运行方式。

（发音为“rocket”）是由 CoreOS 开发的一个容器运行时（container runtime），专注于安全性、可组合性和标准化。它是容器时代的轻量级工具，用来运行、管理和隔离容器化应用，特别适合云原生和分布式系统。

Docker 利用了 SELinux 来增强容器的隔离性，通过对文件、进程、资源打标签并设置访问规则，防止容器之间以及容器与宿主机之间的资源越界访问。假设你是一家公司的管理员（宿主机），公司有许多员工（容器）在不同部门（进程）。在生产环境中，SELinux 是一项重要的隔离技术，但要注意，它并不孤立，还需要与**自主访问控制（DAC）**等机制一起协同工作。当容器挂载宿主机目录时，SELinux 会为挂载点打上独特标签，确保该目录只能被挂载的容器访问，其他容器无权访问。编辑 Docker 配置文件（

它通过限制系统调用的范围，减少攻击面，提升容器的隔离性。尽管默认启用了标准策略，但 Seccomp 可以根据需求进行自定义，进一步加强容器的安全性。是一种内核安全机制，用来限制容器内的程序可以调用哪些系统调用（Syscalls）。通过列清单的方式，Seccomp 可以指定哪些系统调用被允许、被拒绝或需要特殊处理，从而增强容器的安全性。特权容器的权限设计初衷是为了绕过所有安全限制，因此它会自动禁用 Seccomp。由于特权容器拥有宿主机级别的权限，攻击者可以轻易利用容器中的漏洞获取宿主机的控制权。

它将传统 root 权限细化为 38 项小权限，既能满足功能需求，又能最大限度地降低安全风险。，包含每项的作用、引入版本和 Docker 容器中默认是否启用（14 项默认启用的权限已标注）。这使得我们可以为容器按需分配权限，而不是直接授予完全的 root 权限。通过分配具体的钥匙，你可以让容器只完成特定任务，而不会获取过多的权限。如果容器需要额外权限（如管理网络接口），可以通过。权限原则**：容器只能执行特定任务，提升隔离性。：可以根据需要动态调整权限，满足任务需求。）权限拆分为多个独立的小权限（目前为。

Cgroup 的第三个作用是实时统计每个容器的资源使用情况。Cgroup 的第二个作用是为容器设置资源使用的优先级。优先级高的容器可以比低优先级的容器更快、更稳定地获取资源。Cgroup 的第四个作用是管理系统中运行的任务（Task），比如停止占用资源过多的进程，或者动态调整资源配额。Cgroup 的第一个作用是设置资源使用的上限，防止某个容器“吃得太多”，抢占其他容器或宿主机的资源。通过 Cgroup 的强大管理能力，Docker 可以高效、安全地管理容器资源，保证系统的稳定运行。

【代码】Docker 的网络模式。

是两个用于文件系统隔离的技术，它们的目标类似——为进程提供独立的文件系统视图，但实现方式和功能差别很大。一样改变进程的根目录，还可以为每个进程创建一个独立的“挂载点空间”（Mount Table）。则是真正为进程创建了一个独立的“文件系统世界”。即使是有权限的进程，想要突破隔离也极为困难。：只能改变“入口”目录，让进程从新的根目录开始访问文件系统，但其他挂载点的结构保持不变。是一种简单的文件系统隔离技术，它将一个进程的“根目录”（：可以为整个容器或一组进程创建一个独立的文件系统视图。

Namespace 的主要功能是将操作系统的某些资源（如文件系统、网络、进程 ID 等）“划分成独立空间”，确保容器之间互不干扰，同时也与宿主机隔离。是 Linux 内核提供的一种隔离机制，用于实现资源的独立性和隔离性。简单来说，它让每个容器感觉自己是独立运行的，就像一台单独的计算机一样。Docker 默认启用 IPC 隔离，容器内的共享内存不会与宿主机或其他容器共享。启用 User Namespace，将容器内的用户 ID 映射到宿主机的普通用户。即便同在一个屋檐下，彼此的生活互不干扰。

是一种轻量化的虚拟化技术，它允许多个应用程序共享同一个操作系统（OS）内核，同时为每个应用程序提供自己的运行环境。容器中的进程运行在用户空间，但它们调用的是宿主机的内核空间功能。因此，如果容器中的进程被恶意利用，可能影响宿主机的安全。（如 Namespaces 和 Cgroups）实现了一定程度的隔离，确保每个容器之间相互独立。但和传统虚拟机（VM）相比，容器的隔离机制并不那么强，特别是在面对恶意攻击或高安全性需求时。