Linux Namespace 并不神秘，它本质就是“让一组进程看到不同的世界”。而你真正需要掌握的，不是概念，而是这 5 个命令：unshare / nsenter / lsns / ip netns / /proc

掌握它们，你就能：

• 手动“造一个容器”

• 进入任意 Pod 内部世界

• Debug 90% 的容器网络问题

一、Namespace 本质：不是虚拟化，而是“视角隔离”

Linux Namespace 做的事情很简单：

👉 让不同进程看到不同的系统视图

比如：

👉 核心一句话：

Namespace = 不同进程看到的“世界版本”不同

二、最核心工具：unshare（创建世界）

1. 手动创建一个“容器环境”

unshare -m -u -i -n -p -f --mount-proc bash

你进入之后可以试：

ps auxhostnameip addr

你会发现：

• PID 从 1 开始

• 网络是隔离的

• hostname 可以独立修改

👉 这就是容器的本质雏形

2. unshare 背后发生了什么？

用 strace 看：

strace -f -e clone unshare -p bash

你会看到：

clone(CLONE_NEWPID | CLONE_NEWNS | ...)

👉 关键点：

Namespace 本质就是 clone() 时加 flag

三、进入容器的“钥匙”：nsenter（生产必备）

1. 进入某个进程的 namespace

nsenter -t <pid> -m -u -i -n -p bash

👉 参数含义：

• -t：目标进程

• -n：网络

• -m：挂载

• -p：PID

2. Kubernetes 实战

Step 1：找到容器

crictl ps

Step 2：获取 PID

crictl inspect <container-id> | grep pid

Step 3：进入 Pod 

nsenter -t <pid> -n bash

👉 你现在已经“进入 Pod 内部网络世界”

四、Namespace 真相：都在 /proc 里

1. 查看 namespace

ls -l /proc/<pid>/ns

输出：

net -> net:[4026531993]mnt -> mnt:[4026531840]

👉 关键认知：

• namespace = 内核对象

• [4026531993] = namespace ID

2. 判断两个进程是否同一个 namespace

readlink /proc/123/ns/netreadlink /proc/456/ns/net

👉 一样 = 在同一个网络空间

五、查看系统所有 Namespace：lsns

lsns

输出：

NS TYPE NPROCS PID COMMAND4026531836 pid 1 1 /sbin/init

👉 你可以看到：

• 所有 namespace

• 关联进程

• 类型

六、网络 Namespace 专属：ip netns

1. 创建网络空间

ip netns add ns1

2. 进入

ip netns exec ns1 bash

3. 删除

ip netns delete ns1

4. 搭配 veth（K8s 网络核心）

ip link add veth0 type veth peer name veth1

👉 这就是：

• Docker 网络

• Kubernetes CNI

的基础构建块

七、容器运行时视角

一个 Kubernetes Pod 的进程树：

pstree -p

典型结构：

├─containerd-shim(1175)─┬─etcd(2269)           │            │           │            ├─pause(1282)

👉 关键点：

• pause 容器 = namespace 持有者

• 业务容器 = 共享 namespace

八、必须掌握的3个实战场景

场景 1：进入Pod排查问题

crictl pscrictl inspect <id> | grep pidnsenter -t <pid> -n bash

场景 2：验证两个容器是否同一个网络

readlink /proc/<pid1>/ns/netreadlink /proc/<pid2>/ns/net

场景 3：手写一个“伪容器”

unshare -p -m -n -f --mount-proc bash

👉 你已经实现了：

• PID 隔离

• 网络隔离

• mount 隔离

九、核心总结

unshare   # 创建 namespacensenter   # 进入 namespacelsns      # 查看 namespaceip netns  # 管理网络/proc     # 真相来源

结尾

容器技术的本质，从来不是 Docker、containerd 或 Kubernetes。而是 Linux 内核提供的 Namespace + Cgroup + RootFS。