眾所周知，docker 使用的是 Linux 的 namespace 技術(shù)實(shí)現(xiàn)進(jìn)程隔離，如果我想看到 docker 的視角觀察宿主機(jī)的文件結(jié)構(gòu)，特別是對(duì)于 mac 系統(tǒng)，運(yùn)用到一些虛擬機(jī)的技術(shù)，導(dǎo)致無法從 Linux 進(jìn)程角度看到具體的文件目錄。

在 mac 上經(jīng)常有如下需求得不到滿足，我們現(xiàn)在就可以利用命名空間技術(shù)，還原 Linux 視角。

在一個(gè) shell A 下執(zhí)行

$ docker run --rm -it --name bb busybox sh

在另一個(gè) shell B 下執(zhí)行

$ docker inspect bb

可以觀察到里面的很多目錄前綴都是 /var/lib/docker 開頭，如果想在 mac 上查看這些目錄發(fā)現(xiàn) mac 上根本是沒有這些目錄，這時(shí)候 namespace 技術(shù)登場(chǎng)，用魔法打敗魔法。

在另一個(gè) shell B 下執(zhí)行

$ docker run -it --privileged --pid=host debian nsenter -t 1 -m -u -n -i sh
$ cd /var/lib/docker/overlay2/2602d5ba5ba42b115a88fe71b98ce079a95211e9bdd459e1febe8038da956a54/work

這里相當(dāng)于啟動(dòng)一個(gè) debian 容器，這個(gè)容器的進(jìn)程命名空間是當(dāng)前的宿主機(jī)進(jìn)程的命名空間，并且使用 nsenter 進(jìn)入 pid 為 1 的進(jìn)程的命名空間，這個(gè)空間和宿主機(jī)是一個(gè)空間，
我們?cè)谶@個(gè)命名空間內(nèi)就很容易進(jìn)入到 /var/lib/docker 所在的目錄了。

這里在補(bǔ)充一下 nsenter 可使用的參數(shù)

# nsenter -h

Usage:
 nsenter [options] <program> [<argument>...]

Run a program with namespaces of other processes.

Options:
 -t, --target <pid>     target process to get namespaces from
 -m, --mount[=<file>]   enter mount namespace
 -u, --uts[=<file>]     enter UTS namespace (hostname etc)
 -i, --ipc[=<file>]     enter System V IPC namespace
 -n, --net[=<file>]     enter network namespace
 -p, --pid[=<file>]     enter pid namespace
 -U, --user[=<file>]    enter user namespace
 -S, --setuid <uid>     set uid in entered namespace
 -G, --setgid <gid>     set gid in entered namespace
     --preserve-credentials do not touch uids or gids
 -r, --root[=<dir>]     set the root directory
 -w, --wd[=<dir>]       set the working directory
 -F, --no-fork          do not fork before exec'ing <program>
 -Z, --follow-context   set SELinux context according to --target PID

 -h, --help     display this help and exit
 -V, --version  output version information and exit

For more details see nsenter(1).

注意：對(duì)于 --pid 參數(shù)我本以為可以支持系統(tǒng)上任意的命名空間，但是實(shí)際測(cè)試下來只有 host 參數(shù)可用。