容器下文件系统成谜，了解mount namespace背地里的秘密！

揭开Mount Namespace的神秘面纱：容器隔离的幕后英雄

深入 Linux 容器技术的奇妙世界，你必将邂逅一个至关重要的概念：Mount Namespace。它是容器内进程所见文件系统的幕后导演，决定着进程的访问权限。

Mount Namespace 的诞生：隔离文件系统视图

在 Mount Namespace 出现之前，所有进程共享一个统一的文件系统视图，这显然与容器隔离的初衷背道而驰。Mount Namespace 应运而生，打破了这一限制，为每个容器创造了独立的文件系统视图。

构建 Mount Namespace：一步一步

构建一个 Mount Namespace 的过程很简单，只需按以下步骤操作：

1. 创建命名空间： 使用 unshare 系统调用创建一个新的命名空间：

# unshare --mount

2. 挂载根文件系统： 在新创建的命名空间中，使用 mount 命令挂载根文件系统：

# mount -t proc proc /proc
# mount -t sysfs sys /sys
# mount -o bind / /mnt

完成这些步骤，这个命名空间就拥有了它自己的独立文件系统视图，与其他命名空间隔离。

Mount Namespace 中的文件系统操作

在 Mount Namespace 中，进程对文件系统的操作仅影响该命名空间内的文件系统视图，不会影响其他命名空间。比如：

• 在一个命名空间中创建文件，不会影响其他命名空间中的文件系统。
• 在一个命名空间中删除文件，不会影响其他命名空间中的文件系统。

Mount Namespace 在容器中的应用

在容器中，Mount Namespace 用于隔离容器内的文件系统视图，确保容器内的进程只能看到容器内的数据。这保证了容器之间的隔离，防止容器之间的文件系统相互干扰。

Mount Namespace 的优势：隔离、安全、资源管理

Mount Namespace 带来的优势包括：

• 容器隔离： Mount Namespace 隔离了容器的文件系统视图，确保了容器之间的隔离。
• 增强安全性： Mount Namespace 可以限制容器内进程对文件系统的访问，增强容器的安全性。
• 资源管理： Mount Namespace 可以帮助管理容器的资源使用，例如，可以限制容器对文件系统的写入操作。

总结：容器隔离的基础

Mount Namespace 是 Linux 容器技术不可或缺的一部分，它为容器隔离奠定了基础。了解 Mount Namespace 的工作原理，我们就能更好地理解容器技术背后的奥秘。

常见问题解答

1. 如何知道容器中是否启用了 Mount Namespace？

# lsns

如果输出包含 "mnt"，则表示 Mount Namespace 已启用。

2. 如何在容器中查看文件系统的挂载点？

# mount | grep /

输出将显示容器中所有挂载点的列表。

3. 如何在容器中创建新的挂载点？

# mkdir /mnt/new-mount
# mount -t tmpfs tmpfs /mnt/new-mount

4. 如何在容器中卸载挂载点？

# umount /mnt/new-mount

5. 如何在容器中获取 Mount Namespace 的 ID？

# cat /proc/self/ns/mnt

输出将是一个数字，表示该容器 Mount Namespace 的 ID。