@zrp1994 图不太好发

这是虚拟机 172.8.0.6 的：
broadcast 172.8.0.0 dev veth1 proto kernel scope link src 172.8.0.6
local 172.8.0.6 dev veth1 proto kernel scope host src 172.8.0.6
broadcast 172.8.255.255 dev veth1 proto kernel scope link src 172.8.0.6

这是主机的：

broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1
broadcast 172.8.0.0 dev sgdocker0 proto kernel scope link src 172.8.0.1
local 172.8.0.1 dev sgdocker0 proto kernel scope host src 172.8.0.1
broadcast 172.8.255.255 dev sgdocker0 proto kernel scope link src 172.8.0.1
broadcast 172.17.0.0 dev docker0 proto kernel scope link src 172.17.0.1
local 172.17.0.1 dev docker0 proto kernel scope host src 172.17.0.1
broadcast 172.17.255.255 dev docker0 proto kernel scope link src 172.17.0.1
broadcast 172.21.0.0 dev eth0 proto kernel scope link src 172.21.0.16
local 172.21.0.16 dev eth0 proto kernel scope host src 172.21.0.16
broadcast 172.21.15.255 dev eth0 proto kernel scope link src 172.21.0.16

其中 172.17 的是 docker 相关的，172.21 是这台主机在的网络

我把 iptables 关了，外网上不了了，能 ping 其他虚拟机，但 ping 不通自己 ip

@e1eph4nt 的确有，没有写上去

还有，为什么我没有开 iptables，它也能起作用......

@e1eph4nt 我虚拟机 route 只有一条规则，默认路由为 172.8.0.1

没有人配置过吗？

@raysonx 的确是这个问题

@henglinli 发现全是 Golang 的锅，现在只有一个问题了，为什么 mount --bind /proc/22752/ns/mnt namespace/test/mnt 会报错.......报错：mount: wrong fs type, bad option, bad superblock on /proc/22752/ns/mnt,missing codepage or helper program, or other error

@raysonx
@zealot0630 看了 docker 的实现，终于知道为什么加载不了 mnt ns 了，是 golang 的锅......但是 mount --bind /proc/22752/ns/mnt namespace/test/mnt 还是会报错，不知道为什么 mnt 不能被 mount，其他都可以，可能有什么奇奇怪怪的机制吧

@zealot0630 那为什么 setns 无法设置 mnt namespace，这又是为什么......

@miniliuke 报错 mount: wrong fs type, bad option, bad superblock on /proc/14422/ns/mnt,
missing codepage or helper program, or other error

In some cases useful info is found in syslog - try
dmesg | tail or so.

@raysonx 就是为将 /proc/进程号 /ns 里面的文件不在进程结束时被销毁，使用 mount 命令挂载到其他文件上，但是只有 mnt 文件没有被挂载上，也不能 setns......

@raysonx 对了，大佬还有我去 mount 命名空间只有 mnt ns 没有 mount 上且没有报错，为什么啊？ pid 的问题我能理解但解决不了，mnt 的问题我都不知道为什么......

@raysonx 但是 pid namespace 是一样的啊，就是 ls -l /proc/1/ns,发现还是同一个 pid ns

@raysonx 但我自己实现时关闭 pid1 后 pid ns 就不能新建进程但是能 setns，

@raysonx 甚至于我关闭 docker 以后重启还是同一个 pid ns，除非我关机

@raysonx 我使用 docker stop 命令发现 container 的进程没了，然后再 docker start 发现 container 的 pid namespace 还是同一个。按理说 pid 1 已经关过了，那 docker 是怎么重用这个 pid namespace 的呢？

可以不被销毁不？

如果 PID namespace 中的 init 进程被 kill 掉(SIGKILL)，内核会给该 init 的所有其它进程发送 SIGKILL。当 init 结束时，PID namespace 也会被释放，但是也有例外，如果 /proc//ns/pid 被 bind mounted 或者其它进程打开，PID namespace 不会被释放，但是不通过 setns 将新的进程加入到该 PID namespace。
那么问题来了这个 PID namespace 还有救么？