Внутри ядра Docker: что на самом деле происходит при запуске контейнера

[sse]

От того, что из текста убрали эмодзи и выделение жирным, текст не стал меньше похож на нейровыхлоп :) думаю, переводы нейротекстов это очередной этап по наклонной

[rombell]

152 закладки. Вам не кажется, что текст 152 человека сочли полезным, независимо, выхлоп он или нет? Или, цитируя, "вам шашечки или ехать"?

[KivApple]

Мне кажется, тут чего-то не хватает. Где-то рядом с clone должно быть монтирование этой самой overlayfs. Кто этим занимается? А кто и в какой момент настраивает cgroups?

[andrejs82]

Да, нормально все. Мне понравилось.

[Pahma174]

У меня несколько вопросов, которые критичны для организации тестирования подобных сред:

1. Тестирование "побега" из контейнера (container escape): Вы упомянули, что общее ядро — это вектор уязвимости. Какие практические методы и инструменты вы бы рекомендовали для проактивного тестирования изоляции? Помимо сканирования CVEs ядра, стоит ли на регулярной основе запускать в контейнерах инструменты вроде amicontained или использовать chaos-инженерию, чтобы проверить, не "просочились" ли процессы, сетевые сокеты или файлы за пределы namespaces?

2. Валидация лимитов cgroups в продакшене: Как эффективно тестировать, что лимиты памяти/CPU (--memory, --cpus), установленные через Docker, реально применяются ядром и не могут быть обойдены? Достаточно ли для этого мониторинга метрик (процент использования vs лимит), или нужны нагрузочные тесты, которые намеренно пытаются превысить лимит и проверяют, сработает ли троттлинг/OOM killer? Есть ли тонкости с разными версиями ядра или драйверов cgroups v1 vs v2?

3. Тестирование многоуровневой файловой системы (OverlayFS): Вы упомянули механизм copy-on-write. Какие edge-cases здесь стоит проверять? Например, как ведёт себя контейнер при переполнении writable-слоя? Или что происходит, если процесс в контейнере держит открытым файл из read-only слоя, а этот слой обновляется (пересобирается образ) на хосте? Может ли это привести к corruption или неожиданному поведению?

Бонус-вопрос про тестирование в CI/CD: Интегрируете ли вы подобные низкоуровневые проверки (тесты на изоляцию, лимиты) в ваш пайплайн сборки образов? Или это удел периодического аудита безопасности?

Ещё раз спасибо за статью, которая переводит теорию ядра в плоскость практической инженерии.

[s083r]

откуда прикол в простынях? Товарищ 1-2 будет по ману, потом будет раскуривать ман, если молодой. Че вы пичкаете!?