一、Namespace核心原理

1. 隔离类型
   Linux支持6种Namespace：

• PID：隔离进程ID，不同Namespace的进程可拥有相同PID。
• Network：隔离网络设备、IP地址、端口等。
• Mount：隔离文件系统挂载点。
• UTS：隔离主机名和域名。
• IPC：隔离进程间通信资源（如消息队列）。
• User：隔离用户和组ID。

2. 实现机制
   通过clone()系统调用创建新Namespace，配合unshare()或setns()动态调整。内核为每个Namespace维护独立数据结构（如struct pid_namespace）。

二、典型示例分析

案例1：PID Namespace隔离

# 创建新PID Namespace
unshare --pid --fork /bin/bash
echo $  # 显示新Namespace中的PID（可能仍为原值，需配合/proc）
ps aux  # 仅显示当前Namespace内的进程

原理：子进程的PID从1开始计数，父Namespace无法直接访问子Namespace的进程。

案例2：Network Namespace

# 创建隔离的网络环境
ip netns add ns1
ip netns exec ns1 ip link show  # 仅显示ns1内的网络设备

原理：每个Namespace拥有独立的网络协议栈、路由表和防火墙规则。

案例3：Mount Namespace

unshare --mount --fork /bin/bash
mount --bind /tmp /mnt  # 仅影响当前Namespace

原理：文件系统挂载点变更不会传播到其他Namespace。

三、应用场景

1. 容器技术：Docker利用Namespace实现进程、网络等资源的隔离。
2. 安全沙箱：限制进程访问范围，如systemd服务单元。
3. 开发测试：快速构建隔离的测试环境。