Chroot ve docker arasındaki fark

16

Liman işçisi ve chroot arasındaki farkı anlamıyorum. Evet kayıt defteri paketleme açısından güzel. Ama bir şekilde ekstra çan ve ıslık ile onun sadece kroot hissediyorum.

Bir şey eksik olduğumu biliyorum. Nasıl farklı olduklarını ve chroot benzer bir şey yapabilirse liman işçisi ihtiyacını bilmek harika olurdu.

Bu Chroot Vs Docker'ı da yeterince açık bulamadım .

docker  linux  containers 
Vipin Menon
kaynak
Evet, Docker çekirdeğin sizin için zaten yapmayacağı hiçbir şey yapmıyor. Sadece daha fazla veya daha az tutarlı ve kullanımı oldukça kolay bir araçta paketler. Eğer chroot, ad alanları, kotalar, NAT ve diğer her şeyi kendiniz yapmak için rahatsız olabilirseniz kendi Docker yapabilirsiniz.
Gaius

Yanıtlar:

9

Ekstra çan ve ıslık işlem izolasyonu olarak adlandırılır, bir kap kendi ad alanını ana çekirdekten alır, bu da kaptaki programın çekirdek belleğini okumaya veya izin verilenden daha fazla RAM yemeye çalışamayacağı anlamına gelir.

Ayrıca ağ yığınlarını da yalıtır, böylece iki işlem 8080 numaralı bağlantı noktasını örnek olarak dinleyebilir, yönlendirmeyi ana makine düzeyinde işlemeniz gerekir, burada sihir yoktur, ancak bu, bir yerde yönlendirmenin işlenmesine izin verir ve işlem yapılandırmasını değiştirmek için ücretsiz bir bağlantı noktasını dinleyin.

İkincisi, bir chroot hala okunur / yazılır, herhangi bir değişiklik kalıcıdır, konteyneri aufsher başlattığınızda temiz bir dosya sisteminden bir docker konteyneri başlar (IIRC'yi durdurur / başlatırsanız değişiklikler tutulur).

Dolayısıyla bir kap process namespace+ olarak düşünülse de chroot, gerçek biraz daha karmaşıktır.

Tensibai
kaynak
aufsArtık varsayılan olarak kullanılmadığını unutmayın . Şimdioverlay2
Vitalii Vitrenko
Doğru, ama bence şimdilik auf'lara overlay2'den daha fazla eğitim materyali var :)
Tensibai
Normal bir işlem de gerekmediği herhangi bir belleği okuyamaz. Güvenlik için Docker'a güveniyorsanız, yanlış yapıyorsunuz ...
Gaius
@Gaius beni yanlış okuyorsun, sadece OP'ye arama ipucu vermeye çalışıyorum ... Bir dağıtım hattına docker'ı geliştiriciye içeride kullandıkları şeye verdikleri tüm özgürlükle eklemek kesinlikle bir güvenlik noktası değil. Bununla birlikte, ad alanları bir grup yığın taşması ve arabellek taşmasından korunur.
Tensibai
5

Evet, kesinlikle chrootortak hiçbir şeye sahip olmadıkları noktadan çok daha fazlası var.

  • Bir görevle ilgili anlambilim içeren standartlaştırılmış bir komut dosyası biçimi
  • Görüntüler (aralarında anonim olanlar dahil), önbellekleme, adlandırma, indirme vb. Güçlü yönetim dahil ( docker image prune...)
  • Kaplar (kendi geçici dosya sistemleri dahil, adlandırma, docker execbunlara girme vb.)
  • Süreç yönetimi ( docker container ...)
  • Docker içi konteyner ağı vb. Dahil basit bir seçenekle ağ oluşturma
  • Hacimler (özel yönetilen hacimler dahil)
  • docker-compose veya düşük profilli çok daha yüksek bir sürüme geçerek sürün.
  • Limanlama konteynerlerine dayanan diğer çözümlerin büyük hayvanat bahçesi (OpenShift vb.).
AnoE
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.