Docker和宿主机操作系统文件目录互相隔离的实现原理

我们知道在Docker容器里是无法访问到宿主操作系统的文件目录的，但这种隔离是怎么实现的呢？

其实一点也不神奇——利用了Linux系统的内部命令chroot。

chroot能将进程的根目录设置成任意指定的目录。

使用chroot我们能创建一个新的进程，并且以chroot执行时传入的参数作为新进程的根目录。

因为新进程创建之后就无法访问除了新进程创建时传入chroot参数之外的其他文件目录，为了确保这个新进程能够正常工作，我们必须手动拷贝一些文件到新进程的根目录映射的旧目录下。

做一个如下测试：

新建一个文件夹，执行chroot . 意思是把文件夹$HOME/container当作新建进程的根目录。但是没有成功，报错误消息chroot: failed to run command ‘/bin/bash’: No such file or dir