摘要:我們知道在容器里是無法訪問到宿主操作系統(tǒng)的文件目錄的�,但這種隔離是怎么實現(xiàn)的呢其實一點也不神奇利用了系統(tǒng)的內(nèi)部命令。
我們知道在Docker容器里是無法訪問到宿主操作系統(tǒng)的文件目錄的����,但這種隔離是怎么實現(xiàn)的呢?
其實一點也不神奇——利用了Linux系統(tǒng)的內(nèi)部命令chroot�����。
chroot能將進程的根目錄設置成任意指定的目錄����。
使用chroot我們能創(chuàng)建一個新的進程���,并且以chroot執(zhí)行時傳入的參數(shù)作為新進程的根目錄���。
因為新進程創(chuàng)建之后就無法訪問除了新進程創(chuàng)建時傳入chroot參數(shù)之外的其他文件目錄���,為了確保這個新進程能夠正常工作����,我們必須手動拷貝一些文件到新進程的根目錄映射的舊目錄下����。
做一個如下測試:
新建一個文件夾,執(zhí)行chroot . 意思是把文件夾$HOME/container當作新建進程的根目錄�����。但是沒有成功��,報錯誤消息chroot: failed to run command ‘/bin/bash’: No such file or directory
執(zhí)行下面兩條命令:
執(zhí)行命令ldd $HOME/container/bin/bash:
該命令為了查看需要有哪些庫文件得手動拷貝到文件夾$/HOME/container/bin/bash下面:
根據(jù)ldd的輸出����,再次執(zhí)行下圖的八條命令:
再次執(zhí)行chroot . ���, 發(fā)現(xiàn)這次成功了:
pwd發(fā)現(xiàn)是在根目錄下���,ls也只能發(fā)現(xiàn)執(zhí)行chroot時指定的container目錄下的子目錄:
這就是docker文件目錄隔離的實現(xiàn)原理�。
要獲取更多Jerry的原創(chuàng)文章���,請關注公眾號"汪子熙":
文章版權歸作者所有�����,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://systransis.cn/yun/32785.html
