以用戶命名空間隔離docker容器的宿主機資源

本文主要介紹如何配置docker的容器資源目錄，以及對容器資源進行隔離。

參考網址

[root@mvxl5461 docker]# id apps

uid=1000(apps) gid=1000(apps) groups=1000(apps),1001(docker)

[root@mvxl5461 docker]# `echo apps:1000:1000 > /etc/subuid `

[root@mvxl5461 docker]# cat /etc/subuid 

apps:1000:1000

[root@mvxl5461 docker]# echo apps:1000:1000 > /etc/subgid 

[root@mvxl5461 docker]# cat /etc/subgid 

apps:1000:1000

[root@mvxl5461 docker]# vi /etc/docker/daemon.json

輸入一下內容

{
"graph":"/apps/lib/docker",
"userns-remap":"apps:apps"
}

systemctl daemon-reload

systemctl restart docker

最後可以看到的效果如下圖所示。