深入理解Linux namespace之mount namespace

在Linux中，namespace是用于隔离进程的一种机制，它允许进程拥有自己的独立资源视图，如网络、PID、文件系统等。其中，mount namespace是文件系统隔离的关键组件。

在传统的Unix和Linux系统中，挂载点（mount point）是一个文件或目录，其他文件系统可以挂载在这个点上。当挂载发生时，新的文件系统就成为已挂载点的一部分，并对所有用户都可见。然而，在多用户环境中，我们有时希望提供更细粒度的控制，使得不同的用户或进程组拥有不同的文件系统视图。这就是mount namespace发挥作用的地方。

每个挂载点都有一个与之关联的mount namespace。内核维护着每个namespace的挂载点列表。每个进程都有一个与之关联的mount namespace，进程只能看到该namespace中的挂载点。这为进程提供了一个独立的文件系统视图。

挂载点列表独立于其他namespace，这意味着在一个namespace中的挂载不会影响其他namespace中的挂载点。这种隔离特性使得mount namespace在容器技术中发挥了重要作用。

在容器环境中，每个容器都有自己的mount namespace，这样容器就可以挂载只属于自己的文件系统。例如，当我们在Docker容器中挂载一个卷（volume）时，这个卷只对容器内的进程可见，其他容器或宿主机都无法访问。

为了查看一个进程的挂载点信息，我们可以查看/proc/[pid]/mounts、/proc/[pid]/mountinfo和/proc/[pid]/mountstats三个文件。这些文件包含了该进程mount namespace中挂载点的详细信息。

如何创建新的mount namespace呢？可以使用clone()函数并传入CLONE_NEWNS标志来创建新的mount namespace。新namespace中的挂载点是从调用者所在的namespace中拷贝的。这样，新namespace就有了与原namespace相同的挂载点列表。

总结来说，mount namespace为进程提供了独立的文件系统视图，使得每个进程或容器都有自己的文件系统环境。这种隔离机制对于构建安全、可移植的容器化应用至关重要。理解mount namespace的工作原理可以帮助我们更好地利用Linux的功能和特性，优化和构建高效的容器解决方案。