isolation 标签归档

共 5 篇文章 · 返回首页

【Linux 网络子系统深度拆解】网络命名空间：内核级网络隔离的实现

2026-04-24 | linux · networking | #netns #network-namespace #struct-net #container-networking #veth #nsproxy #pernet-operations #isolation #bpftrace

容器网络的一切隔离能力，都建立在网络命名空间之上。本文从 Linux 6.6 内核源码拆解 struct net 的完整布局、possible_net_t 与 RCU 访问模式、pernet_operations 子系统注册与生命周期回调、copy_net_ns() 命名空间创建路径、per-netns 路由表/netfilter/socket 隔离机制，以及 veth pair 跨命名空间数据转发的 skb->dev 切换原理。

【操作系统百科】容器隔离的真实强度

2026-06-30 | os | #container-security #gvisor #kata #firecracker #isolation

容器 vs 虚机 vs microVM 的真实隔离差距。namespace+cgroup+seccomp+capabilities 组合、user namespace rootless、gVisor、Kata Containers、Firecracker——本文评估容器安全。

【存储工程】事务隔离级别的存储实现

2025-09-06 | storage | #transaction #isolation #mvcc #2pl #gap-lock #ssi #percolator

数据库事务的四大特性 ACID 中，隔离性（Isolation）是最复杂的一项。原子性靠 WAL 保证（参见 [WAL 与崩溃恢复](../27-wal-aries/wal-aries.html)），持久性靠 fsync 落盘，一致性是应用层语义——唯独隔离性，需要存储引擎在并发控制层面做出大量取舍。SQL 标准定义了…

【从零造容器】Linux Namespaces：用 50 行 C 隔离一个进程

2026-04-01 | linux · containers | #namespace #clone #container #pid #uts #mount #ipc #linux-kernel #isolation

容器不是魔法。它就是几个系统调用。本文用 C 从 clone() 开始，逐个开启 PID/UTS/Mount/IPC namespace，看隔离到底是怎么回事。50 行代码，你就拥有了一个'容器'的雏形。

【从零造容器】容器 vs microVM：Firecracker 凭什么 125ms 启动

2026-04-10 | linux · containers · virtualization | #firecracker #kvm #microvm #virtio #container-vs-vm #isolation #security-boundary #aws-lambda

容器用 namespace 隔离，microVM 用硬件虚拟化。AWS Lambda 背后的 Firecracker 去掉了 BIOS、ACPI、PCI，只用 virtio-mmio，125ms 启动一个 VM。两种隔离模型到底差在哪？安全性差多少？开销差多少？