Docker произвел революцию в том, как мы разрабатываем, развертываем приложения и управляем ими. Двумя ключевыми функциями, которые обеспечивают изоляцию и распределение ресурсов Docker, являются пространства имен и контрольные группы. В этой статье мы углубимся в назначение пространств имен и групп в Docker и предоставим примеры кода, иллюстрирующие их функциональность. Поняв эти концепции, вы сможете использовать мощные возможности Docker для контейнеризации.

Что такое пространства имен?
Пространства имен в Docker обеспечивают изоляцию процессов, гарантируя, что процессы внутри контейнера не смогут получить доступ к ресурсам за пределами назначенного им пространства имен. Docker использует несколько пространств имен для изоляции различных аспектов контейнера, таких как файловая система, сеть, идентификаторы процессов и т. д. Давайте рассмотрим некоторые часто используемые пространства имен и их назначение:

1. Пространство имен PID:
   Пространство имен PID (Process ID) изолирует дерево процессов внутри контейнера, предотвращая доступ процессов к процессам за пределами контейнера или вмешательство в них. Вот пример создания контейнера с отдельным пространством имен PID:

docker run --name mycontainer --pid=container:mycontainer alpine sh

2. Пространство сетевых имен.
   Пространство сетевых имен обеспечивает сетевую изоляцию, позволяя каждому контейнеру иметь собственные сетевые интерфейсы, IP-адреса, таблицы маршрутизации и правила брандмауэра. Вот пример создания контейнера с отдельным сетевым пространством имен:

docker run --name mycontainer --network=container:mycontainer alpine sh

3. Пространство имен монтирования:
   Пространство имен монтирования изолирует представление файловой системы для процессов внутри контейнера. Это гарантирует, что каждый контейнер имеет собственную изолированную файловую систему, отдельную от хост-системы и других контейнеров. Вот пример:

docker run --name mycontainer --mount=type=bind,source=/host/path,target=/container/path alpine sh

Что такое cgroups?
Cgroups (группы управления) в Docker обеспечивают управление распределением и использованием ресурсов для контейнеров. Они позволяют вам указывать ограничения ресурсов и определять приоритетность распределения ресурсов между контейнерами. Давайте рассмотрим некоторые распространенные методы использования контрольных групп в Docker:

1. Распределение ЦП.
   Вы можете ограничить использование ЦП контейнером с помощью контрольных групп. Вот пример ограничения контейнером использования максимум 50 % одного ядра ЦП:

docker run --name mycontainer --cpus=0.5 alpine sh

2. Распределение памяти.
   Cgroups позволяют вам устанавливать ограничения памяти для контейнеров. Вот пример ограничения контейнера на использование максимум 512 МБ памяти:

docker run --name mycontainer --memory=512m alpine sh

3. Блокирование распределения ввода-вывода.
   Вы можете контролировать доступ контейнеров к блокированию ввода-вывода (диска) с помощью cgroups. Вот пример ограничения максимальной пропускной способности ввода-вывода для контейнера:

docker run --name mycontainer --device-write-bps=/dev/sda:1mb alpine sh

Пространства имен и контрольные группы — это основные функции Docker, которые обеспечивают изоляцию процессов и распределение ресурсов соответственно. Пространства имен гарантируют, что контейнеры изолированы друг от друга и хост-системы, а контрольные группы позволяют вам устанавливать ограничения ресурсов и определять приоритеты их распределения. Эффективно используя пространства имен и контрольные группы, вы сможете использовать всю мощь возможностей контейнеризации Docker.