Linux 利用命名空間創建一個自己的"容器"

前置條件

• 創建一個目錄存放容器mkdir /myapp
• 準備靜態編譯busybox，操作系統自帶的往往是依賴動態庫的(本文使用的debian apt install busybox-static)

開始

1. 使用unshare起一個獨立命名空間.

   # 進入后/myapp目錄在新命名空間內是不存在的
   unshare --mount-proc=/myapp -n -p -u -f /usr/bin/zsh
   # 掛載/myapp目錄,掛載成功后，myapp目錄是一個空目
   #和宿主機的myapp目錄完全獨立
   mount -t tmpfs tmpfs /myapp
   

2. 初始化根目錄到/myapp目錄中(mount-proc=/myapp后，/myapp目錄實現了隔離，但宿主機其它目錄還是可以在命名空間內正常訪問，還沒有實現完全隔離)

   # 拷貝宿主機的busybox拷到/myapp目錄中
   mkdir /myapp/bin && cp /usr/bin/busybox /myapp/bin/
   # /bin/busybox這個地址是基于/myapp作為/根目錄地址得來的，
   #執行過后你當前命名空間就無法訪問/myapp以外的宿主機目錄了
   chroot /myapp /bin/busybox sh
   

效果展示

進來過后是很純粹的linux，哈哈哈哈。你需要什么資源在chroot之前考到/myapp目錄下都可，如果你不想隔離某個命名空間，列入你不想隔離網絡，不想隔離pid，在unshare的時候都可以不加對應參數，具體參數意義可以使用unshare --help查看