07 _ 白话容器基础（三）：深入理解容器镜像1

深入理解容器镜像 本文主要讲解了容器镜像的概念和原理，通过讲解 Linux 容器的基础技术：Namespace 和 Cgroups，来帮助读者理解容器的本质。然后，通过一个小程序的示例，验证了容器里的应用进程看到的文件系统是一个完全独立的文件系统。 知识点一：容器的本质是一种特殊的进程 容器的本质是一种特殊的进程，这是理解容器镜像的基础概念。通过使用 Namespace 和 Cgroups 两种技术，可以实现容器的“隔离”和“限制”，使得容器里的应用进程只能看到该Namespace 内的“世界”，并且不能超过这个“世界”的限制。 知识点二：Namespace 的作用是“隔离” Namespace 的作用是“隔离”，它让应用进程只能看到该Namespace 内的“世界”。这样，容器里的应用进程就不会受到宿主机和其他容器的影响。 知识点三：Cgroups 的作用是“限制” Cgroups 的作用是“限制”，它给容器里的应用进程围上了一圈看不见的墙，使得容器里的应用进程不能超过这个“世界”的限制。 知识点四：Mount Namespace 的作用 Mount Namespace 的作用是让容器里的应用进程看到一个完全独立的文件系统。这样，容器里的应用进程就可以在自己的容器目录下进行操作，而完全不会受到宿主机和其他容器的影响。 知识点五：容器镜像的概念 容器镜像是指容器里的应用进程看到的文件系统。容器镜像是一个完全独立的文件系统，它可以让容器里的应用进程在自己的容器目录下进行操作，而完全不会受到宿主机和其他容器的影响。 知识点六：小程序示例 通过一个小程序的示例，验证了容器里的应用进程看到的文件系统是一个完全独立的文件系统。这个小程序使用了 clone() 系统调用创建了一个新的子进程，并且声明要为它启用 MountNamespace，最后执行了一个“/bin/bash”程序，也就是一个 shell。这个 shell 就运行在了 Mount Namespace 的隔离环境中。 知识点七：Kubernetes 的技能图谱 Kubernetes 的技能图谱是一个非常重要的概念，它可以帮助读者更好地理解 Kubernetes 的技术栈和架构。通过学习 Kubernetes 的技能图谱，读者可以更好地理解容器镜像的概念和原理。