14、容器存储与镜像构建全解析

容器存储与镜像构建全解析

1. 容器存储实现

在容器环境中，我们可以在 Fedora 容器里找到已挂载的 MongoDB 卷。即便停止甚至移除第一个 mongodb01 容器，这些卷依然处于活跃状态，且仍挂载在 Fedora 容器内。

当主机启用 SELinux 并处于强制模式时，挂载操作需要额外考虑。SELinux 会递归地为文件和目录添加标签以定义其上下文，这些标签通常作为扩展文件系统属性存储。SELinux 利用上下文来管理策略，明确哪些进程可以访问特定资源。

我们可以使用 ls 命令查看资源的类型上下文，示例如下：

$ ls -alZ /etc/passwd
-rw-r--r--. 1 root root system_u:object_r:passwd_file_t:s0 2965 
Jul 28 21:00 /etc/passwd

在上述示例中， passwd_file_t 标签定义了 /etc/passwd 文件的类型上下文。在 SELinux 强制模式下，程序能否访问文件取决于其类型上下文。

进程也有自己的类型上下文，容器以 container_t 标签运行，对标记为 container_file_t 类型上下文的文件和目录具有读写访问权限，对标记为 container_share_t 的资源具有读执行访问权限。默认情况下，