docker不能隔离哪些资源

Docker 虽然提供了轻量级的进程隔离，但并不能完全隔离所有系统资源。以下是 Docker 无法完全隔离或存在限制的主要资源类型：

1. 内核相关资源

• 共享内核：所有容器共享宿主机的 Linux 内核，内核漏洞或配置问题可能影响所有容器。
• 内核模块：容器可以加载/卸载内核模块（需 --privileged 权限），可能影响宿主机和其他容器。
• /proc 和 /sys 文件系统：默认挂载部分内核接口（如 /proc/cpuinfo），可能泄露宿主机信息。

2. 硬件资源

• 硬件设备：容器默认无法直接访问宿主机硬件（如 GPU、USB 设备），但通过 --device 或特权模式可绕过隔离。
• CPU 架构：容器无法虚拟化不同的 CPU 架构（如 x86 容器无法在 ARM 宿主机上运行）。

3. 时间和时钟

• 系统时间（CLOCK_REALTIME）：容器默认共享宿主机的系统时间，修改容器时间会直接影响宿主机（需 --cap-add SYS_TIME 权限）。
• 时钟源：如 ntpd 或 chrony 服务在容器内可能无法正常工作。

4. 网络相关

• 网络堆栈：容器默认使用宿主机的网络协议栈，某些网络配置（如 iptables 规则）可能影响宿主机。
• 网络设备：容器可通过 --net=host 共享宿主机的网络命名空间，直接操作宿主机网卡。

5. 存储和文件系统

• 存储驱动依赖：Docker 使用的存储驱动（如 overlay2）可能因性能问题影响宿主机 I/O。
• 挂载点：通过 -v 挂载宿主机目录时，容器可能修改或删除宿主机文件。
• 文件描述符：容器进程可能耗尽宿主机的文件描述符限制（需调整全局 fs.file-max）。

6. 安全相关

• SELinux/AppArmor：若宿主机未配置强制访问控制（MAC），容器可能绕过隔离。
• Capabilities：默认已限制部分权限（如 CAP_SYS_ADMIN），但特权模式（--privileged）会赋予容器几乎所有权限。
• root 用户：容器内 root 用户默认映射到宿主机的非 root 用户（通过用户命名空间），但若未启用用户命名空间（--userns=host），容器 root 等同于宿主机 root。

7. 系统级配置

• 内核参数：/proc/sys、/sys 中的参数默认共享，容器可能修改宿主机内核参数（需 --sysctl 显式控制）。
• 信号（Signals）：宿主机可以向容器进程发送信号（如 SIGKILL），强制终止容器。

8. 资源竞争

• 极端资源占用：虽然可通过 --cpus、--memory 限制资源，但容器仍可能通过漏洞（如 fork 炸弹）耗尽宿主机资源。
• 磁盘空间：容器日志或卷可能占满宿主机的磁盘空间。

如何增强隔离性？

1. 启用用户命名空间（--userns-remap）隔离 UID/GID。
2. 避免特权模式（禁用 --privileged）。
3. 使用 --cap-drop 移除不必要的权限（如 CAP_SYS_ADMIN）。
4. 结合虚拟机：对高隔离需求场景（如多租户），可用 Kata Containers 或 gVisor。
5. 配置 cgroups v2：更精细的资源限制（如 CPU、内存、IO）。

总结

Docker 的隔离性基于 Linux 命名空间和 cgroups，本质是进程级隔离，而非硬件级虚拟化。若需完全隔离，需结合虚拟机或专用容器运行时（如 Firecracker）。根据实际需求权衡隔离性与性能。