07 _ 白话容器基础（三）：深入理解容器镜像1

file:///C:/Users/qiaochaowen/Desktop/k8s/07%20%20%E7%99%BD%E8%AF%9D%E5%AE%B9%E5%99%A8%E5%9F%BA%E7%A1%80%E

…

07 | 白话容器基础（三）：深入理解容器镜像

07 | 白话容器基础（三）：深入理解

谱，希望对你有帮助。

在前两次的分享中，我讲解了 Linux 容器最基础的两种技术：Namespace 和

Cgroups。希望此时，你已经彻底理解了“容器的本质是一种特殊的进程”这个

最重要的概念。

而正如我前面所说的，Namespace 的作用是“隔离”，它让应用进程只能看到该

Namespace 内的“世界”；而 Cgroups 的作用是“限制”，它给这个“世

界”围上了一圈看不见的墙。这么一折腾，进程就真的被“装”在了一个与世隔绝

的房间里，而这些房间就是 PaaS 项目赖以生存的应用“沙盒”。

可是，还有一个问题不知道你有没有仔细思考过：这个房间四周虽然有了墙，但是

如果容器进程低头一看地面，又是怎样一副景象呢？

file:///C:/Users/qiaochaowen/Desktop/k8s/07%20%20%E7%99%BD%E8%AF%9D%E5%AE%B9%E5%99%A8%E5%9F%BA%E7%A1%80%E

…

file:///C:/Users/qiaochaowen/Desktop/k8s/07%20%20%E7%99%BD%E8%AF%9D%E5%AE%B9%E5%99%A8%E5%9F%BA%E7%A1%80%E

…

而这个子进程执行的，是一个“/bin/bash”程序，也就是一个 shell。所以这个

shell 就运行在了 Mount Namespace 的隔离环境中。

我们来一起编译一下这个程序：

$ gcc -o ns ns.c

样的。

$ ls /tmp

# 你会看到好多宿主机的文件

复制代码

也就是说：

这是怎么回事呢？

仔细思考一下，你会发现这其实并不难理解：Mount Namespace 修改的，是容

器进程对文件系统“挂载点”的认知。但是，这也就意味着，只有在“挂载”这个

int container_main(void* arg)

{

printf("Container - inside the container!\n");

// 如果你的机器的根目录的挂载类型是 shared，那必须先重新挂载根目录

// mount("", "/", NULL, MS_PRIVATE, "");

mount("none", "/tmp", "tmpfs", 0, "");

execv(container_args[0], container_args);

printf("Something's wrong!\n");

return 1;

}