众所周知，docker 使用的是 Linux 的 namespace 技术实现进程隔离，如果我想看到 docker 的视角观察宿主机的文件结构，特别是对于 mac 系统，运用到一些虚拟机的技术，导致无法从 Linux 进程角度看到具体的文件目录。

在 mac 上经常有如下需求得不到满足，我们现在就可以利用命名空间技术，还原 Linux 视角。

在一个 shell A 下执行

$ docker run --rm -it --name bb busybox sh

在另一个 shell B 下执行

$ docker inspect bb

可以观察到里面的很多目录前缀都是 /var/lib/docker 开头，如果想在 mac 上查看这些目录发现 mac 上根本是没有这些目录，这时候 namespace 技术登场，用魔法打败魔法。

在另一个 shell B 下执行

$ docker run -it --privileged --pid=host debian nsenter -t 1 -m -u -n -i sh
$ cd /var/lib/docker/overlay2/2602d5ba5ba42b115a88fe71b98ce079a95211e9bdd459e1febe8038da956a54/work

这里相当于启动一个 debian 容器，这个容器的进程命名空间是当前的宿主机进程的命名空间，并且使用 nsenter 进入 pid 为 1 的进程的命名空间，这个空间和宿主机是一个空间，
我们在这个命名空间内就很容易进入到 /var/lib/docker 所在的目录了。

这里在补充一下 nsenter 可使用的参数

# nsenter -h

Usage:
 nsenter [options] <program> [<argument>...]

Run a program with namespaces of other processes.

Options:
 -t, --target <pid>     target process to get namespaces from
 -m, --mount[=<file>]   enter mount namespace
 -u, --uts[=<file>]     enter UTS namespace (hostname etc)
 -i, --ipc[=<file>]     enter System V IPC namespace
 -n, --net[=<file>]     enter network namespace
 -p, --pid[=<file>]     enter pid namespace
 -U, --user[=<file>]    enter user namespace
 -S, --setuid <uid>     set uid in entered namespace
 -G, --setgid <gid>     set gid in entered namespace
     --preserve-credentials do not touch uids or gids
 -r, --root[=<dir>]     set the root directory
 -w, --wd[=<dir>]       set the working directory
 -F, --no-fork          do not fork before exec'ing <program>
 -Z, --follow-context   set SELinux context according to --target PID

 -h, --help     display this help and exit
 -V, --version  output version information and exit

For more details see nsenter(1).

注意：对于 --pid 参数我本以为可以支持系统上任意的命名空间，但是实际测试下来只有 host 参数可用。