Из чего состоит технология контейнеризации в операционной системе Linux?

Технология контейнеризации в Linux состоит из нескольких ключевых компонентов и механизмов:

• Namespaces (пространства имён): Изолируют процессы по разным аспектам — файловая система (mount), процессы (PID), сеть (network), пользовательские идентификаторы (user), IPC и др. Это позволяет контейнеру видеть только свою часть системы.

• Control Groups (cgroups): Ограничивают и контролируют использование ресурсов (CPU, память, диск, сеть) группой процессов, обеспечивая изоляцию и управление ресурсами.

• Union файловые системы (OverlayFS, AUFS): Позволяют создавать слоистые файловые системы, где базовый образ неизменяем, а изменения записываются в верхний слой.

• Chroot (частично): Меняет корневой каталог процесса, ограничивая доступ к файловой системе.

• Capabilities: Управляют правами процессов, ограничивая их возможности в системе.

• Сетевые мосты и виртуальные интерфейсы: Обеспечивают изоляцию и настройку сетевого взаимодействия контейнеров.

Вместе эти механизмы позволяют создавать изолированные, легковесные среды — контейнеры, которые работают независимо друг от друга на одном ядре Linux.