docker-容器镜像（容器中的文件系统）

出门莫恨无人随，书中车马多如簇。这篇文章主要讲述docker-容器镜像（容器中的文件系统）相关的知识，希望能为你提供帮助。
本篇内容是学习了张磊老师和孟凡杰老师的内容进行的实验汇总。
Namespace的作用是隔离
Cgroup的作用是资源限制
那么容器中的文件系统又是怎么回事呢？？？？
1.不仅仅是开启Mount Namespace由于上面我们学习了Namespace，所以我们可能会想到这是由于Mnt Namespace，所以每个容器中的文件系统才能够相互隔离，互不干扰。那实际真的是这样吗？
1.1先查看下宿主机上信息
查看一下宿主机上的 /tmp目录

vagrant@ubuntu-focal:~$ sudo -i
root@ubuntu-focal:~# ll /tmp/
total 44
drwxrwxrwt 11 root root 4096 Jan 23 08:34 ./
drwxr-xr-x 20 root root 4096 Jan 23 08:34 ../
drwxrwxrwt2 root root 4096 Jan 23 08:34 .ICE-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .Test-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .X11-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .XIM-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .font-unix/
drwx------3 root root 4096 Jan 23 08:34 snap.lxd/
drwx------3 root root 4096 Jan 23 08:34 systemd-private-bf43bcade3ec45a69d7fd23b0b0514f5-systemd-logind.service-5Q497g/
drwx------3 root root 4096 Jan 23 08:34 systemd-private-bf43bcade3ec45a69d7fd23b0b0514f5-systemd-resolved.service-YkKmZe/
drwx------3 root root 4096 Jan 23 08:34 systemd-private-bf43bcade3ec45a69d7fd23b0b0514f5-systemd-timedated.service-urwvti/

查看一下挂载情况，没有/tmp的挂载记录

root@ubuntu-focal:~# mount -l | grep tmpfs
udev on /dev type devtmpfs (rw,nosuid,noexec,relatime,size=482912k,nr_inodes=120728,mode=755)
tmpfs on /run type tmpfs (rw,nosuid,nodev,noexec,relatime,size=100012k,mode=755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
tmpfs on /run/snapd/ns type tmpfs (rw,nosuid,nodev,noexec,relatime,size=100012k,mode=755)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=100008k,mode=700,uid=1000,gid=1000)

查看一下进程信息，没有/bin/bash进程，因为后面我们会运行这个程序

root@ubuntu-focal:~# ps -ef|grep /bin/bash
root149014410 09:15 pts/000:00:00 grep --color=auto /bin/bash

1.2仅开启Mount Namespace
1.2.1准备程序下面我们做一个实验，准备一段程序ns.c
我的环境是ubuntu 20.04，需要安装一下gcc
程序解析：
在main函数中，通过clone()系统调用创建了一个新的子进程container_main，并声明要为他开启Mount Namespace (即CLONE_NEWNS flag)。
这个子进程执行的是“/bin/bash”程序，这个程序运行在了Mount Namespace的隔离环境中。

#define _GNU_SOURCE
#include < sys/mount.h>
#include < sys/types.h>
#include < sys/wait.h>
#include < stdio.h>
#include < sched.h>
#include < signal.h>
#include < unistd.h>
#define STACK_SIZE (1024 * 1024)
static char container_stack[STACK_SIZE];
char* const container_args[] =
"/bin/bash",
NULL
;

int container_main(void* arg)

printf("Container - inside the container!\\n");
execv(container_args[0], container_args);
printf("Somethings wrong!\\n");
return 1;

int main()

printf("Parent - start a container!\\n");
int container_pid = clone(container_main, container_stack+STACK_SIZE, CLONE_NEWNS | SIGCHLD , NULL);
waitpid(container_pid, NULL, 0);
printf("Parent - container stopped!\\n");
return 0;

1.2.2程序打包并执行执行程序就进入了一个子进程中，在这个子进程中执行ls /tmp，发现/tmp目录下的内容和上面宿主机的内容是一样的。

$ gcc -o ns ns.c
$ ./ns
Parent - start a container!
Container - inside the container!

编译程序
root@ubuntu-focal:~# gcc -o ns ns.c

执行程序，就进入这个子进程中。
root@ubuntu-focal:~# ./ns
Parent - start a container!
Container - inside the container!

发现多了/bin/bash子进程
root@ubuntu-focal:/opt# ps -ef|grep /bin/bash
root189418930 09:22 pts/000:00:00 /bin/bash
root191018940 09:22 pts/000:00:00 grep --color=auto /bin/bash

查看/tmp目录，没有变化
root@ubuntu-focal:~# ll /tmp
total 40
drwxrwxrwt 10 root root 4096 Jan 23 08:40 ./
drwxr-xr-x 20 root root 4096 Jan 23 08:34 ../
drwxrwxrwt2 root root 4096 Jan 23 08:34 .ICE-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .Test-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .X11-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .XIM-unix/
drwxrwxrwt2 root root 4096 Jan 23 08:34 .font-unix/
drwx------3 root root 4096 Jan 23 08:34 snap.lxd/
drwx------3 root root 4096 Jan 23 08:34 systemd-private-bf43bcade3ec45a69d7fd23b0b0514f5-systemd-logind.service-5Q497g/
drwx------3 root root 4096 Jan 23 08:34 systemd-private-bf43bcade3ec45a69d7fd23b0b0514f5-systemd-resolved.service-YkKmZe/

查看挂载情况

挂在记录没有改变，因没有挂载操作
root@ubuntu-focal:~# mount -l | grep tmpfs
udev on /dev type devtmpfs (rw,nosuid,noexec,relatime,size=482912k,nr_inodes=120728,mode=755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs on /run type tmpfs (rw,nosuid,nodev,noexec,relatime,size=100012k,mode=755)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs on /run/snapd/ns type tmpfs (rw,nosuid,nodev,noexec,relatime,size=100012k,mode=755)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=100008k,mode=700,uid=1000,gid=1000)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
root@ubuntu-focal:~#

从上面情况可以看出：
仅开启Mount Namespace ，容器进程看到的文件系统和宿主机完全一样。
仔细思考一下：Mount Namespace修改的是容器进程对文件系统“挂载点”的认知。即只有发生挂载操作后，文件系统才会发生变化。
1.3开启Mount Namespace时，伴随着挂载操作
在创建新的进程时，除了开启Mount namespace，我们还可以告诉新的进程，有哪些目录需要重新挂载，这里我们假如重新挂载/tmp目录。
1.3.1准备程序【docker-容器镜像（容器中的文件系统）】对上面的c程序的container_main方法中新增一行mount操作

root@ubuntu-focal:/opt# cat nsnew.c

#define _GNU_SOURCE
#include < sys/mount.h>
#include < sys/types.h>
#include < sys/wait.h>
#include < stdio.h>
#include < sched.h>
#include < signal.h>
#include < unistd.h>
#define STACK_SIZE (1024 * 1024)
static char container_stack[STACK_SIZE];
char* const container_args[] =
"/bin/bash",
NULL
;

int container_main(void* arg)

printf("Container - inside the container!\\n");
mount("none", "/tmp", "tmpfs", 0, "");
execv(container_args[0], container_args);
printf("Somethings wrong!\\n");
return 1;

int main()

printf("Parent - start a container!\\n");
int container_pid = clone(container_main, container_stack+STACK_SIZE,

推荐阅读

oversize不适合哪些人 oversize是什么牌子

玉米粥和小米粥哪个减肥

车钥匙在哪里车钥匙怎么配要多少钱

博世壁挂炉不供水怎么办 ,什么是氟利昂

杨梅怎么做蜜饯

手机进水黑屏能自己恢复吗手机进水黑屏还有救吗

支付包钱包是什么？支付宝钱包怎么用？

原神塞西莉亚苗圃怎么解锁风墙原神塞西莉亚苗圃怎么解锁

oppo版荒野乱斗最新版下载，那里下载新版本

进京证过期一天可以办延期吗进京证到期了凌晨可以跑吗

红酥手黄藤酒后面的一句话是什么红酥手黄藤酒后面的一句话应该是什么

溃疡性结肠炎|一文了解：儿童溃疡性结肠炎的诊疗要点

下载不了小米路由器怎么办，下载不了小米路由器怎么办呢

平板支架

梦幻模拟战黎恩转职推荐黎恩转职路线一览

全球十大品牌床垫口碑最好的床垫品牌

电脑能带上飞机吗? 笔记本电脑能带上飞机吗?

2023年乌鲁木齐市中考报名条件 2023年乌鲁木齐市中考报名条件怎么样

蚂蟥咬怎么处理

孕妇补钙过多会导致胎盘老化吗

redis 哈希 hash 常用操作

docker-cgroup资源限制

编译安装http2.4，实现可以正常访问

利用sed 取出ifconfig命令中本机的IPv4地址

删除/etc/fstab文件中所有以#开头，后面至少跟一个空白字符的行的行首的#和空白字符

视频课程上线（工具软件介绍及使用指南系列一）

处理/etc/fstab路径,使用sed命令取出其目录名和基名

PHP中如何计算两个日期之间的差异（）

如何建立一个有信誉的StackOverflow配置文件（）