Linux Overlay如何实现文件系统隔离

Linux OverlayFS是一种联合文件系统，它可以将多个目录（称为“层”）合并为一个统一的视图。OverlayFS常用于Docker等容器技术中，以实现文件系统的隔离和共享。以下是OverlayFS实现文件系统隔离的基本原理：

基本概念

1. 下层（Lowerdir）：

   • 这是基础文件系统层，包含容器的只读文件系统。
   • 通常是镜像的根文件系统。

2. 上层（Upperdir）：

   • 这是可写层，用于存储容器运行时产生的所有更改。
   • 容器内的所有写操作都会在这个层中进行。

3. 工作层（Workdir）：

   • 这是一个临时目录，用于OverlayFS在合并文件系统时的中间操作。
   • 它不是必须的，但在某些情况下可以提高性能。

工作原理

OverlayFS通过以下步骤实现文件系统的隔离：

1. 挂载OverlayFS：

   • 使用mount命令将OverlayFS挂载到目标目录。
   • 例如：mount -t overlay overlay -o lowerdir=/path/to/lower,upperdir=/path/to/upper,workdir=/path/to/work /path/to/mountpoint

2. 文件查找：

   • 当访问一个文件或目录时，OverlayFS首先在上层（upperdir）中查找。
   • 如果在上层找不到，则在下层（lowerdir）中查找。
   • 如果仍然找不到，则返回错误。

3. 文件写入：

   • 所有的写操作都会在上层（upperdir）中进行。
   • 这确保了基础镜像的只读性不被破坏。

4. 文件删除：

   • 删除操作会在上层（upperdir）中进行。
   • 如果上层中没有该文件，则会从下层（lowerdir）中删除。

5. 目录创建：

   • 目录创建操作会在上层（upperdir）中进行。
   • 这允许容器拥有自己的目录结构，而不会影响基础镜像。

隔离效果

• 只读隔离：基础镜像保持不变，所有写操作都在上层进行，确保了基础镜像的完整性。
• 写时复制（Copy-On-Write, COW）：虽然OverlayFS本身不直接支持COW，但可以通过其他机制（如Docker的UnionFS）实现。COW意味着只有在实际修改文件时才会复制文件，从而节省存储空间。

示例

假设有一个基础镜像base.img，我们希望在其上运行一个容器，并且希望容器内的更改不会影响基础镜像。

1. 创建工作目录：

   mkdir -p /path/to/lower /path/to/upper /path/to/work /path/to/mountpoint
   

2. 挂载OverlayFS：

   mount -t overlay overlay -o lowerdir=/path/to/base.img,upperdir=/path/to/upper,workdir=/path/to/work /path/to/mountpoint
   

3. 运行容器：

   • 将挂载点作为容器的根文件系统启动容器。
   • 例如：docker run -it --mount type=bind,source=/path/to/mountpoint,target=/ rootfs

通过这种方式，容器内的所有更改都只会影响上层目录，而不会影响基础镜像，从而实现了文件系统的隔离。

总结

OverlayFS通过将多个目录合并为一个统一的视图，并在上层进行所有写操作，实现了文件系统的隔离。这种机制使得容器可以拥有自己的文件系统，同时保持基础镜像的完整性和安全性。