标签：User Namespace

Docker基础技术：Linux Namespace（下）

这篇讲的是Docker底层Linux Namespace的后半部分，作者从上一篇的铺垫出发，聚焦在User Namespace和Network Namespace这两个关键能力上。对于User Namespace，文章不仅解释了容器内用户身份被重映射（默认为65534）的原理，还深入到了`/proc//uid_map`文件的三字段格式与写入规则，并附上一段完整的C代码示例，展示了如何通过父子进程协作与管道同步，在创建容器时完成从普通用户到容器内root的UID映射，以此提升安全性。在Network Namespace部分，文章通过一张经典的Docker宿主机网络示意图，说明了容器如何获得独立的网络栈，并提及了`docker0`网桥、`veth`虚拟网卡对以及容器默认使用的私有网段。整体内容硬核，将抽象的隔离机制与具体的文件操作、代码实现紧密结合，对于想深入理解容器安全与网络隔离根基的读者来说，是一篇扎实的进阶指南。