摘要: 1. Liunx cgroup 使用 namespace 隔离运行环境,使得进程像在独立环境中运行一样。然而,仅有隔离环境还不够,还得限制被 namespace 隔离的资源。否则,namespace 将不限制的访问系统资源。并且,当系统资源耗尽时内核会触发 OOM 杀死不想关的进程。 Liunx 提 阅读全文
posted @ 2021-05-04 16:30 lubanseven 阅读(191) 评论(0) 推荐(0) 编辑
摘要: 1. user namespace user namespace 主要隔离了安全相关的标识符和属性,包括用户 ID,用户组 ID,key 和 capabilities 等。同样一个用户 id 在不同 user namespace 中会有不同的权限。比如,进程属于一个普通用户,但是它创建的 user 阅读全文
posted @ 2021-05-04 14:35 lubanseven 阅读(1041) 评论(0) 推荐(0) 编辑