众所周知,docker 使用的是 Linux 的 namespace 技术实现进程隔离,如果我想看到 docker 的视角观察宿主机的文件结构,特别是对于 mac 系统,运用到一些虚拟机的技术,导致无法从 Linux 进程角度看到具体的文件目录。
在 mac 上经常有如下需求得不到满足,我们现在就可以利用命名空间技术,还原 Linux 视角。
在一个 shell A 下执行
$ docker run --rm -it --name bb busybox sh
在另一个 shell B 下执行
$ docker inspect bb
可以观察到里面的很多目录前缀都是 /var/lib/docker 开头,如果想在 mac 上查看这些目录发现 mac 上根本是没有这些目录,这时候 namespace 技术登场,用魔法打败魔法。
在另一个 shell B 下执行
$ docker run -it --privileged --pid=host debian nsenter -t 1 -m -u -n -i sh
$ cd /var/lib/docker/overlay2/2602d5ba5ba42b115a88fe71b98ce079a95211e9bdd459e1febe8038da956a54/work
这里相当于启动一个 debian 容器,这个容器的进程命名空间是当前的宿主机进程的命名空间,并且使用 nsenter 进入 pid 为 1 的进程的命名空间,这个空间和宿主机是一个空间,
我们在这个命名空间内就很容易进入到 /var/lib/docker 所在的目录了。
这里在补充一下 nsenter 可使用的参数
# nsenter -h
Usage:
nsenter [options] <program> [<argument>...]
Run a program with namespaces of other processes.
Options:
-t, --target <pid> target process to get namespaces from
-m, --mount[=<file>] enter mount namespace
-u, --uts[=<file>] enter UTS namespace (hostname etc)
-i, --ipc[=<file>] enter System V IPC namespace
-n, --net[=<file>] enter network namespace
-p, --pid[=<file>] enter pid namespace
-U, --user[=<file>] enter user namespace
-S, --setuid <uid> set uid in entered namespace
-G, --setgid <gid> set gid in entered namespace
--preserve-credentials do not touch uids or gids
-r, --root[=<dir>] set the root directory
-w, --wd[=<dir>] set the working directory
-F, --no-fork do not fork before exec'ing <program>
-Z, --follow-context set SELinux context according to --target PID
-h, --help display this help and exit
-V, --version output version information and exit
For more details see nsenter(1).
注意:对于 --pid 参数我本以为可以支持系统上任意的命名空间,但是实际测试下来只有 host 参数可用。
