【Docker入门】namespace 空间隔离

Docker 的核心隔离技术之一：Namespace（命名空间）

Docker 容器之所以能“看起来像独立的系统”，最基础、最核心的机制就是Linux Namespace（命名空间）。

简单来说：
Namespace 让同一个内核上的不同进程群，看起来拥有完全独立的全局资源视图。

Docker 主要使用的 6 种 Namespace（2025 年主流版本）

（还有 cgroup namespace、time namespace 等较新的，但入门阶段一般不重点关注）

形象比喻（最容易理解的说法）

把 Namespace 想象成6副不同的眼镜：

• 戴上 PID 眼镜 → 只能看到自己这个房间里的人（进程）
• 戴上 NET 眼镜 → 只能看到自己这个房间的网线和 IP
• 戴上 MNT 眼镜 → 只能看到自己房间的家具和文件
• 戴上 UTS 眼镜 → 房间门牌写的是自己想要的名字
• ……

一个进程只要被放进这一整套“眼镜组合”里，它就觉得自己运行在一个独立的“小电脑”上 —— 这就是容器的“空间隔离”本质。

动手实验（强烈推荐自己敲一遍）

# 1. 进入一个 busybox 容器，看看隔离效果dockerrun -it --rm busybox# 在容器里执行下面命令，对比宿主机hostnamepsauxipaddrmount|grep'^/'whoami# 通常是 rootid# uid=0(root)# 退出容器后，在宿主机上对比

# 2. 查看宿主机上容器的 namespace（需要 root 权限）# 假设容器 ID 是 abc123ls-l /proc/$(dockerinspect abc123 -f'{{.State.Pid}}')/ns/

你会看到类似这样的输出：

total 0 lrwxrwxrwx 1 root root 0 Jan 24 17:30 cgroup -> cgroup:[402653XXXX] lrwxrwxrwx 1 root root 0 Jan 24 17:30 ipc -> ipc:[402653XXXX] lrwxrwxrwx 1 root root 0 Jan 24 17:30 mnt -> mnt:[402653XXXX] lrwxrwxrwx 1 root root 0 Jan 24 17:30 net -> net:[402653XXXX] lrwxrwxrwx 1 root root 0 Jan 24 17:30 pid -> pid:[402653XXXX] lrwxrwxrwx 1 root root 0 Jan 24 17:30 user -> user:[402653XXXX] lrwxrwxrwx 1 root root 0 Jan 24 17:30 uts -> uts:[402653XXXX]

数字相同的表示在同一个 namespace 里，不同的就实现了隔离。

总结一句话口诀（背下来很有用）

“六大命名空间，PID UTS MNT NET IPC User”
“进程、主机名、文件、网络、通信、用户全隔离”

下一步最该掌握的知识点（推荐顺序）

1. Namespace 怎么实现的隔离（今天讲的）
2. cgroups怎么做资源限制（CPU/内存/IO）
3. UnionFS / OverlayFS 怎么实现分层镜像
4. Docker network 模式（bridge / host / none）
5. user namespace 开启后带来的安全提升

有哪一部分想深入一点，或者想看某个 namespace 的更详细动手实验，可以直接告诉我～