白宫即将出台人工智能新规

因此，我们只需要在“容器进程“创建出来并且容器的 rootfs 准备好之后，但是在 chroot 之前，把 volume 指定的宿主机目录挂载到指定的容器目录在宿主机上对应的目录即可(因为这时候容器进程可以一直看到宿主机上的整个文件系统，同时由于执行这个挂载操作的时候，容器已经创建出来了，那么此时 mount namespace 相当于已经开启了，所以挂载事件只在容器里可见)。

这边的容器进程是 Docker 创建的一个容器初始化进程(dockerinit)，而不是应用进程(ENTRYPOINT+CMD)。dockerinit 负责完成根目录的准备、挂载设备和目录、配置 hostname 等一系列需要在容器内进行的初始化操作。最后通过 execv() 系统调用，让进程取代自己，成为容器里 PID=1 的进程。”由于 volume 挂载到指定的容器目录在宿主机上对应的目录位于可读写层，那么在 docker commit 的时候会被提交嘛?不会。这个主要是因为 docker commit 发生在宿主机空间，而这个 mount 发生在容器里面，并且这个 mount 由于 mount namespace 的隔离，不会影响到宿主机，也就是说宿主机上并没有这个挂载。因此，在提交的时候只会提交一个空的目录，因为 /test 是实实在在被新建在可读写层了的(这个新建可不受 mount namespace 的影响，因为 mount namespace 只影响 mount 相关的)。

下面我们来实验一下，首先启动一个容器并且让这个容器使用一个 volume，挂载在容器里的 /test 目录上。之后在容器的 /test 目录中创建一个新的文件为 test.txt。
 

深入深入

上面对卷的阐述更多是更多是从持久化的角度出发，而卷的另一大作用就是“打通”容器文件系统和主机文件系统，使得容器里在指定目录下创建的文件可以被宿主机访问到，也可以使得宿主机上指定目录下的文件可以被容器里的进程访问到。那么，这个是如何做到的呢?

这里主要用到了 Linux 的绑定挂载(bind mount)机制。它的主要作用就是将一个目录或者文件挂载到一个指定的目录上。并且，之后你在挂载点上进行的任何操作，都只发生在被挂载的目录或者文件上，而原挂载点的内容则会被隐藏起来且不受影响。绑定挂载实际上是一个 inode 替换的过程。比如，执行 mount --bind /home /test 会将 /home 以 bind 的方式挂载到 /test 上。而这一操作其实就相当于将 /test 重定向到了 /home 的 inode 上。因此，当我们修改 /test 目录的时候，实际上修改的是 /home 目录的 inode。
 

默认情况下，Docker 创建新卷时采用内置的 local 驱动，采用这个驱动也就说明创建的卷只能被容器所在的 Docker 主机所使用(上述所使用的就是 local 驱动)。

除了 local 驱动之外，你还可以使用 -d 参数指定不同的驱动。第三方驱动也可以通过插件方式接入，这些驱动提供了高级存储特性，并为 Docker 集成了外部存储系统。卷插件涵盖了块存储、文件存储、对象存储等。

• 块存储：相对性能更高，适用于对小块数据的随机访问负载。比如 Amazon EBS 或者 OpenStack 块存储服务。
• 文件存储：包括 NFS 和 SMB 协议的系统，在高性能场景下表现优异。比如 NetApp FAS、Azure 文件存储。
• 对象存储：适用于较大且长期存储的、很少变更的二进制数据存储。通常对象存储是根据内容寻址，并且性能较低。比如 Amazon S3。