Mount Namespace 是容器实现文件系统视图隔离的核心机制,通过为每个命名空间维护独立挂载树,实现同路径不同内容;默认 private 模式下挂载操作互不影响,需显式配置 shared 才能跨空间同步;容器常结合 pivot_root 与 Mount Namespace 构建干净 rootfs,并依赖 mountinfo 和 findmnt 调试传播行为。
Linux Namespace 是容器实现进程隔离的核心机制之一,其中 Mount Namespace 负责隔离文件系统挂载点视图,是构建容器独立文件系统视图的关键环节。它不复制文件或目录,而是让每个命名空间拥有自己的一套挂载树(mount tree),从而实现“同路径、不同内容”的效果。
Mount Namespace 如何实现挂载点隔离
进程创建新的 Mount Namespace 后,会获得当前挂载状态的副本(取决于 clone() 的 flags,如 CLONE_NEWNS)。此后对该命名空间内挂载点的增删改(mount/umount)操作,不会影响其他命名空间——前提是挂载传播类型(mount propagation)未设置为共享(shared)。
- 默认情况下,新 Mount Namespace 继承父命名空间的挂载点,但处于 private 模式:彼此完全独立
- 若需跨命名空间同步挂载事件(如 Docker 默认启用 shared /),需显式配置
mount --make-shared - 常见误判:以为 unshare(CLONE_NEWNS) 后自动清空所有挂载——实际只是隔离视图,原挂载点仍存在,只是不可见
容器如何基于 Mount Namespace 构建根文件系统视图
容器运行时(如 runc)通常结合 chroot 或 pivot_root + Mount Namespace 来构造干净的 rootfs。典型流程包括:
- 准备一个独立目录(如
/var/lib/mycontainer/rootfs)作为容器根文件系统 - 在该目录中 bind-mount 必要子系统(
/proc,/sys,/dev)并设为 private,避免泄漏宿主机状态 - 调用
pivot_root切换根目录(比 chroot 更安全,能彻底卸载旧 root) - 通过 Mount Namespace 隐藏宿主机的其他挂载点,确保容器内
findmnt只看到预期的挂载树
常见问题与调试要点
Mount Namespace 行为易受传播类型和挂载选项影响,排查时常需关注:
-
cat /proc/[pid]/mountinfo:查看某进程所在命名空间的完整挂载信息,含传播标志(shared:1、master:2 等) -
findmnt --real显示全局挂载,findmnt(无参数)显示当前命名空间视图,二者差异即隔离效果 - bind-mount 未加
--rprivate就进入新 Mount Namespace,可能导致意外传播,引发安全或稳定性问题 - systemd 系统中,/etc/fstab 中的挂载可能被自动传播,需检查
/proc/1/mountinfo判断 init 进程的传播设置
理解 Mount Namespace 不是孤立看“挂载动作”,而是把握“视图可见性”与“事件传播性”两个维度。容器文件系统视图的本质,是一组受控的挂载点集合,在隔离基础上按需叠加——既不能裸露宿主机结构,也不应过度限制运行时扩展能力。
