1. mount namespace

mount namespace 通过隔离文件系统挂载点对隔离文件系统提供支持。使用 unshare 构造 mount namespace 如下:

root@chunqiu:~/chunqiu/docker/mount# dd if=/dev/zero bs=1M count=32 of=./disk1.img

root@chunqiu:~/chunqiu/docker/mount# dd if=/dev/zero bs=1M count=32 of=./disk2.img

root@chunqiu:~/chunqiu/docker/mount# mkfs.ext4 ./disk1.img

root@chunqiu:~/chunqiu/docker/mount# mkfs.ext4 ./disk2.img

root@chunqiu:~/chunqiu/docker/mount# ls

disk1  disk1.img  disk2  disk2.img

root@chunqiu:~/chunqiu/docker/mount# mount disk1.img disk1

root@chunqiu:~/chunqiu/docker/mount# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk1

root@chunqiu:~/chunqiu/docker/mount# readlink /proc/$$/ns/mnt

mnt:[4026531840]

开启另一个 shell 窗口,并创建 mount namespace:

root@chunqiu:~# unshare --mount /bin/bash

root@chunqiu:~# readlink /proc/$$/ns/mnt

mnt:[4026532206]

root@chunqiu:~# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk1

root@chunqiu:~/chunqiu/docker/mount# mount disk2.img disk2

root@chunqiu:~/chunqiu/docker/mount# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk1

/dev/loop1                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk2

root@chunqiu:~/chunqiu/docker/mount# touch disk1/demo; touch disk2/demo

回到原 mount namespace:

root@chunqiu:~/chunqiu/docker/mount# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk1

root@chunqiu:~/chunqiu/docker/mount# ls disk1

demo

root@chunqiu:~/chunqiu/docker/mount# ls disk2

可以看到,通过 mount namespace 实现了文件系统的隔离:

  • 每个 mount namespace 都拥有一份自己的挂载点列表,创建新 mount namespace 时,新创建的 mount namespace 将拷贝一份老 mount namespace 的挂载点列表给自己。
  • 默认情况下所有挂载状态是私有的。
  • mount namespace 实现了文件系统的隔离。上例中子文件系统 disk2 不会映射到父 mount namespace,同样的文件系统下创的文件对父 mount namespace 隔离。

1.1 挂载传播

上例中介绍了默认情况下所有挂载状态是私有的。那么,如果父 mount namespace 挂载了一张硬盘,在子 mount namespace 是不可见的,需要在子 mount namespace 中重新 mount。而挂载传播(mount propagation) 解决了这个问题。它定义了挂载对象之间的关系,系统用这些关系决定了挂载对象中的挂载事件如何传播到其它挂载对象。

挂载传播的详细信息可参阅 man mount,这里以共享和私有挂载为例查看这两种挂载方式是如何影响子 mount namespace 的:

root@chunqiu:~/chunqiu/docker/mount# ls

disk1  disk1.img  disk2  disk2.img

root@chunqiu:~/chunqiu/docker/mount# mount --make-shared disk1.img ./disk1

root@chunqiu:~/chunqiu/docker/mount# mount --make-private disk2.img ./disk2

root@chunqiu:~/chunqiu/docker/mount# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  383K   25M   2% /root/chunqiu/docker/mount/disk1

/dev/loop1                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk2

root@chunqiu:~/chunqiu/docker/mount# cat /proc/self/mountinfo |grep disk| sed 's/ - .*//'

54 25 7:0 / /root/chunqiu/docker/mount/disk1 rw,relatime shared:40

55 25 7:1 / /root/chunqiu/docker/mount/disk2 rw,relatime

开启另一个 shell 窗口,并创建 mount namespace:

root@chunqiu:~# unshare --mount --propagation unchanged /bin/bash

root@chunqiu:~# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  383K   25M   2% /root/chunqiu/docker/mount/disk1

/dev/loop1                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk2

root@chunqiu:~# cat /proc/self/mountinfo |grep disk| sed 's/ - .*//'

/* disk1 是 shared 是因为 unshare 指明了 propagation unchanged,如果未指定,默认是私有的 */

116 63 7:0 / /root/chunqiu/docker/mount/disk1 rw,relatime shared:40

118 63 7:1 / /root/chunqiu/docker/mount/disk2 rw,relatime

在原 mount namespace 中创建“硬盘”并模仿挂载事件:

root@chunqiu:~/chunqiu/docker/mount# dd if=/dev/zero bs=1M count=32 of=./disk3.img

root@chunqiu:~/chunqiu/docker/mount# dd if=/dev/zero bs=1M count=32 of=./disk4.img

root@chunqiu:~/chunqiu/docker/mount# mkfs.ext4 ./disk3.img

root@chunqiu:~/chunqiu/docker/mount# mkfs.ext4 ./disk4.img

root@chunqiu:~/chunqiu/docker/mount# mkdir disk2/disk4

root@chunqiu:~/chunqiu/docker/mount# mkdir disk1/disk3

root@chunqiu:~/chunqiu/docker/mount# mount disk3.img disk1/disk3/

root@chunqiu:~/chunqiu/docker/mount# mount disk4.img disk2/disk4/

查看子 mount namespace 的挂载信息:

root@chunqiu:~# df -hT

Filesystem                                             Type      Size  Used Avail Use% Mounted on

/dev/loop0                                             ext4       27M  384K   25M   2% /root/chunqiu/docker/mount/disk1

/dev/loop1                                             ext4       27M  396K   25M   2% /root/chunqiu/docker/mount/disk2

/dev/loop2                                             ext4       27M  395K   25M   2% /root/chunqiu/docker/mount/disk1/disk3

可以看到共享的挂载传播方式,文件系统内的挂载事件会映射到子 mount namespace 而私有的挂载传播方式则不会。

docker 原理之 mount namespace(下)的更多相关文章

  1. docker原理

    Docker原理11 Linux Namespace 11 AUFS文件系统17 重新理解Docker的各种命令18 Docker原理 Linux Namespace docker是一个容器引擎,容器 ...

  2. docker 深入理解之namespace

    namespace 名称空间 docker容器主要通过资源隔离来实现的,应该具有的6种资源隔 namespace 的六项隔离 namespace 系统调用参数 隔离的内容 UTS CLONE_NEWU ...

  3. Docker容器的原理与实践 (下)

    欢迎访问网易云社区,了解更多网易技术产品运营经验. Docker原理分析 Docker架构 镜像原理 镜像是一个只读的容器模板,含有启动docker容器所需的文件系统结构及内容Docker以镜像和在镜 ...

  4. Docker原理:Namespace

    目录 Namespace UTS Namespae PID Namespace Mount Namespace User Namespace Network Namespace 参考 Namespac ...

  5. 一篇文章带你吃透 Docker 原理

    容器的实现原理 从本质上,容器其实就是一种沙盒技术.就好像把应用隔离在一个盒子内,使其运行.因为有了盒子边界的存在,应用于应用之间不会相互干扰.并且像集装箱一样,拿来就走,随处运行.其实这就是 Paa ...

  6. Docker原理(图解+秒懂+史上最全)

    背景:下一个视频版本,从架构师视角,尼恩为大家打造高可用.高并发中间件的原理与实操. 目标:通过视频和博客的方式,为各位潜力架构师,彻底介绍清楚架构师必须掌握的高可用.高并发环境,包括但不限于: 高可 ...

  7. 一篇不一样的docker原理解析

    转自:https://zhuanlan.zhihu.com/p/22382728 https://zhuanlan.zhihu.com/p/22403015 在学习docker的过程中,我发现目前do ...

  8. Docker原理探究

    问题思考:-------------------------------------Docker浅显原理理解-------------------------------------P1. ubunt ...

  9. docker原理(转)

    转自:https://zhuanlan.zhihu.com/p/22382728 https://zhuanlan.zhihu.com/p/22403015 在学习docker的过程中,我发现目前do ...

  10. Docker 容器资源隔离 namespace(十)

    目录 一.简介 Linux Namespace的6大类型 二.Mount Namespace 三.IPC Namespace 四.Network Namespace 五.UTS Namespace 六 ...

随机推荐

  1. SpringBoot整合EasyExcel

    1.Excel导入导出的应用场景 在做项目中很多时候都会用到Excel的导入和导出 2.解决方案 POI:操作比较繁琐 EasyExcel:正如其名,'Easy'Excel相对于POI使用起来还是比较 ...

  2. LR(0)分析法

    LR(0)是一种自底向上的语法分析方法.两个基本动作是移进和规约. 具体例子如下 已知文法G[E] (1) E→aА (2) E→bB (3) A→cА (4) A→d (5) B→cB (6) B→ ...

  3. 使用代码生成工具快速开发应用-结合后端Web API提供接口和前端页面快速生成,实现通用的业务编码规则管理

    在前面随笔<在Winform应用中增加通用的业务编码规则生成>,我介绍了基于Winform和WPF的一个通用的业务编码规则的管理功能,本篇随笔介绍基于后端Web API接口,实现快速的Vu ...

  4. 从Redis读取.NET Core配置

    在本文中,我们将创建一个自定义的.NET Core应用配置源和提供程序,用于从Redis中读取配置.在此之前,您需要稍微了解一些.NET Core配置提供程序的工作原理,相关的内容可以在Microso ...

  5. NC65获取Token以及相关信息

    private static void setToken() { IPriviledgedGenerator tokenGenerator = (IPriviledgedGenerator) Busi ...

  6. 学一点关于JVM类加载的知识

    要研究类加载过程,我们先要知道关于 Java 处理代码的流程是怎么样的. 第一步:编写源代码 这一步是我们最熟悉的,就是我们在 idea 上写的业务代码,生成 Example.java 文件. pub ...

  7. CSS语法检查利器之csslint

    本文于2015年底完成,发布在个人博客网站上. 考虑个人博客因某种原因无法修复,于是在博客园安家,之前发布的文章逐步搬迁过来. 背景 前段时间研究使用YUI Compressor压缩项目里的js和cs ...

  8. 【电影推荐系统】Spring Boot + Vue3 前后端分离项目

    目录 0 前言 1 项目前端介绍 1.1 项目启动和编译 1.1.1 项目启动 1.1.2 项目编译 1.2 前端技术栈 1.3 功能模块前端界面展示 1.3.1 基础功能模块 1.3.2 用户模块 ...

  9. DevOps|我们需要什么样的产研项目管理工具

    上一篇文章<DevOps|产研运协作工具链上的皇冠-项目管理工具>主要讲了项目管理工具对软件研发的重要性,本篇文章主要想讲清楚我们需要什么样的项目管理工具,项目管理工具必须具备的功能有哪些 ...

  10. DWS临时内存不可用报错: memory temporarily unavailable

    本文分享自华为云社区<DWS临时内存不可用报错: memory temporarily unavailable>,作者:漫天. 1.定位报错的DN/CN 当出现memory tempora ...