Ответ
Контейнеризация в Linux — это не одна технология, а комбинация встроенных механизмов ядра, которые вместе создают изолированное окружение.
1. Изоляция с помощью namespaces: Каждый namespace предоставляет контейнеру собственный изолированный вид на системные ресурсы.
# Создание нового PID namespace и запуск в нем bash
sudo unshare --pid --fork --mount-proc /bin/bash
ps aux # Будет виден только процесс bash и ps, а не все процессы хостаОсновные типы namespaces: PID (процессы), NET (сети, интерфейсы, порты), MNT (точки монтирования), UTS (hostname), IPC (очереди сообщений), User (ID пользователей).
2. Управление ресурсами через cgroups (v2): Cgroups ограничивают и учитывают использование ресурсов группой процессов.
# Создание cgroup для ограничения памяти в 500Мб
sudo mkdir /sys/fs/cgroup/mycgroup
echo "500000000" | sudo tee /sys/fs/cgroup/mycgroup/memory.max
# Помещение процесса в эту cgroup
echo <PID> | sudo tee /sys/fs/cgroup/mycgroup/cgroup.procs3. Изоляция файловой системы:
Используется механизм pivot_root или chroot в сочетании с overlay-файловыми системами (overlayfs), чтобы контейнер имел свой собственный корень /, собранный из слоев образа.
Практический итог: Инструменты вроде Docker или Podman выступают как удобные менеджеры, которые автоматически создают и координируют все эти namespaces, cgroups и файловые системы, предоставляя простой интерфейс для работы с контейнерами.
Ответ 18+ 🔞
А, ну это же про контейнеры в Линуксе! Давай разберём, как эта магия работает на самом деле, без всей этой маркетинговой лапши. Это не какая-то одна волшебная палочка, а сборная солянка из старых, проверенных механизмов ядра, которые вместе и создают эту изоляцию. Ёпта, как будто из говна и палок собрали космический корабль, но он, сука, летает!
1. Изоляция через namespaces — это как отдельные квартиры в общем доме. Каждый namespace даёт контейнеру его собственную, блядь, виртуальную реальность. Он думает, что он один такой пуп земли, а на самом деле их там овердохуища.
# Создаём новый PID namespace и запускаем в нём bash
sudo unshare --pid --fork --mount-proc /bin/bash
ps aux # Увидишь только bash и ps, а не всю сраку процессов на хосте. Сам от себя охуеешь!Основные типы этих «квартир»: PID (чтобы свои процессы не видели чужих), NET (чтобы не шариться по чужим сетям и портам), MNT (свои точки монтирования), UTS (чтобы hostname свой похавать), IPC (для своих очередей сообщений) и User (чтобы свои user ID были, а не чужие). В общем, полная иллюзия независимости, хитрая жопа!
2. Ограничение ресурсов через cgroups (v2) — это как жёсткий папа. Cgroups — это чтобы твой контейнер-оболтус не сожрал всю оперативку и не загрузил процессор на 200%. Доверия к нему, блядь, ноль, поэтому сажаем на короткий поводок.
# Создаём cgroup, чтобы ограничить память в 500Мб
sudo mkdir /sys/fs/cgroup/mycgroup
echo "500000000" | sudo tee /sys/fs/cgroup/mycgroup/memory.max
# Запихиваем в эту клетку наш процесс
echo <PID> | sudo tee /sys/fs/cgroup/mycgroup/cgroup.procsВот и всё, теперь этот процесс больше лимита не получит. Попробует — получит по рукам. Волнение, блядь, на нуле.
3. Изоляция файловой системы — свой собственный мирок.
Тут используется pivot_root или старый добрый chroot, да ещё в связке с overlay-файловыми системами (overlayfs). Суть в том, что контейнеру подсовывают его собственный корень /, который собран как бутерброд из слоёв образа. Он думает, что у него там полноценная ОС, а на деле это просто набор файлов поверх основной системы. Пизда рулю, просто и гениально.
Практический итог, чувак: Docker, Podman и прочие — это просто менеджеры, надсмотрщики. Они не делают ничего нового, они просто автоматизируют всю эту возню с namespaces, cgroups и файловыми системами. Всё, что они делают — это создают тебе красивый интерфейс, чтобы ты не парился и не писал эти команды руками. А под капотом всё тот же старый, добрый, немного блядовитый, но чертовски эффективный Линукс. Вот и вся магия, ебать мои старые костыли.
