1. Manuals
  2. Leap-15.6
  3. man-pages-sv
  4. cgroup_namespaces(7)

Scroll to navigation

CGROUP_NAMESPACES(7) Linux programmerarmanual CGROUP_NAMESPACES(7)

NAMN

cgroup_namespaces — översikt över Linux cgroup-namnrymder

BESKRIVNING

För en översikt över namnrymder, se namespaces(7).

Cgroup-namnrymder virtualiserar vyn av en process cgroup:er (se cgroups(7)) som de syns via /proc/pid/cgroup och /proc[pid]/mountinfo.

Varje cgroup-namnrymd har sin egen uppsättning av cgroup-rotkataloger. Dessa rotkataloger är baspunkterna för de relativa platserna som visas i motsvarande poster i filen /proc/[pid]/cgroup. När en process skapar en ny cgroup-namnrymd med clone(2) eller unshare(2) med flaggan CLONE_NEWCGROUP går den in i en ny cgroup-namespace i vilken dess aktuella cgroup-kataloger cgroup-rotkataloger i den nya namnrymden. (Detta gäller både för cgroup version 1-hierarkierna och den unifierad hierarkin i cgroup version 2.)

När man betraktar /proc/[pid]/cgroup kommer sökvägen som visas i det tredje fältet av varje post att vara relativt den läsande processens rotkatalog för motsvarande cgroup-hierarki. Om cgroup-katalogen för målprocessen ligger utanför rotkatalogen för den läsande processens cgroup-namnrymd kommer sökvägsnamnet visa ../-poster för varje anfadernivå i cgroup-hierarkin.

Följande skalsession demonstrerar effekten av att skapa en ny cgroup-namnrymd. Först (som rot) skapar vi en barn-cgroup i hierarkin freezer, och lägger in skalet i denna cgroup:


# mkdir -p /sys/fs/cgroup/freezer/sub
# echo $$                      # Visa PID för detta skal
30655
# sh -c 'echo 30655 > /sys/fs/cgroup/freezer/sub/cgroup.procs'
# cat /proc/self/cgroup | grep freezer
7:freezer:/sub

Därefter använder vi unshare(1) för att skapa en process som kör ett nytt skal i nya cgroup- och monteringsnamnrymder:



# unshare -Cm bash

Vi inspekterar sedan filerna /proc/[pid]/cgroup för den nya skalprocessen som startas av kommandot unshare(1), en process som finns i den initiala cgroup-namnrymden (init, med PID 1) respektive processen i en syskon-cgroup (sub2):



$ cat /proc/self/cgroup | grep freezer
7:freezer:/
$ cat /proc/1/cgroup | grep freezer
7:freezer:/..
$ cat /proc/20124/cgroup | grep freezer
7:freezer:/../sub2

Från utdata från det första kommandot ser vi att medlemskapet i cgroup:en freezer för det nya skalet (vilket finns i samma cgroup som det initiala skalet) visas definierat relativt rotkatalogen för cgroup:en freezer som etablerades när den nya cgroup-namnrymden skapades. (I absoluta termer, det nya skalet finns i freezer-cgroup:en /sub, och rotkataloger i freezer-cgroup-hierarkin i den nya cgroup-namnrymden är också /sub. Alltså, det nya skalets cgroup-medlemskap visas som '/'.)

Dock, när vi tittar i /proc/self/mountinfo ser vi följande anomali:



# cat /proc/self/mountinfo | grep freezer
155 145 0:32 /.. /sys/fs/cgroup/freezer …

Det fjärde fältet på denna rad (/..) skulle visa katalogen i cgroup-filsystemet som utgör roten för denna montering. Eftersom enligt definitionen av cgroup-namnrymder processens aktuella cgroup-katalog för freezer blev dess rot-freezer-cgroup-katalog borde vi se '/' i detta fält. Problemet här är att vi ser en monteringspost för cgroup-filsystemet som motsvarar vår initiala skalprocess cgroup-namnrymd (vars cgroup-filsystem verkligen är rotat i föräldrakatalogen till sub). Vi måste montera om freezer-cgroup-filsystemet inuti den nya cgroup-namnrymden, varefter vi ser det förväntade resultatet:



# mount --make-rslave /     # Propagera inte monteringshändelser


                            # till andra namnrymder
# umount /sys/fs/cgroup/freezer
# mount -t cgroup -o freezer freezer /sys/fs/cgroup/freezer
# cat /proc/self/mountinfo | grep freezer
155 145 0:32 / /sys/fs/cgroup/freezer rw,relatime …

Användning av cgroup-namnrymder kräver en kärna som är konfigurerad med alternativet CONFIG_CGROUPS.

ÖVERENSSTÄMMER MED

Namnrymder är en Linux-specifik funktion.

NOTERINGAR

Bland syftena virtualiseringen som erbjuds av cgroup-namnrymder tjänar finns följande:

  • Det förhindrar att information läcker genom att en cgroup-katalogsökväg utanför en behållare annars skulle vara synlig för processer i behållaren. Sådant läckage skulle, till exempel, kunna avslöja information om behållarramverket för program i behållare.
  • Det förenklar uppgifter såsom migrering av behållare. Virtualiseringen som erbjuds av cgroup-namnrymder gör att behållare kan isoleras från kunskap om sökvägarna till anfader-cgroup:er. Utan sådan isolation skulle de fullständiga cgroup-sökvägarna (som visas i /proc/self/cgroups) behöva återskapas på målsystemet när en behållare migreras; dessa sökvägsnamn skulle också behöva vara unika, så att de inte skulle stå i konflikt med andra sökvägsnamn på målsystemet.
  • Det möjliggör bättre begränsning av processer i behållare, för att det är möjligt att montera behållarens cgroup-filsystem så att behållarprocessen inte kan få tillgång till kataloger för anfäders cgroup. Betänk, till exempel, följande scenario:
  • Vi har en cgroup-katalog, /cg/1, som ägs av användar-ID 9000.
  • Vi har en process, X, som också ägs av användar-ID 9000, som har namnrymden under cgroup /cg/1/2 (d.v.s., X placerades i en ny cgroup-namnrymd via clone(2) eller unshare(2) med flagga CLONE_NEWCGROUP.
I avsaknad av cgroup-namnrymder skulle, eftersom cgroup-katalogen /cg/1 ägs (och är skrivbar) av AID 9000 och processen X också ägs av användar-ID 9000, då skulle process X kunna ändra innehållet i cgroup-filer (d.v.s., ändra cgroup-inställningar) inte bara i /cg/1/2 utan även i anfader-cgroup-katalogen /cg/1. Att namnrymda processen X under cgroup-katalogen /cg/1/2, i kombination med lämpliga monteringsoperationer av cgroup-filsystemet (som visas ovan), förhindrar den från att ändra filer i /cg/1, eftersom den inte ens kan se innehållet i den katalogen (eller i mer avlägsna cgroup-anfaderkataloger). Kombinerat med korrekt verkställighet av hierarkiska begränsningar förhindrar detta process X från att fly från begränsningarna som läggs på av anfader-cgroup:er.

SE ÄVEN

unshare(1), clone(2), setns(2), unshare(2), proc(5), cgroups(7), credentials(7), namespaces(7), user_namespaces(7)

KOLOFON

Denna sida är del av version 4.16 av Linux man-pages-projektet. En beskrivning av projektet, information om hur man rapporterar fel och den senaste versionen av denna sida kan hittas på https://www.kernel.org/doc/man-pages/.

ÖVERSÄTTNING

Den svenska översättningen av denna manualsida skapades av Göran Uddeborg <goeran@uddeborg.se>

Denna översättning är fri dokumentation; läs GNU General Public License Version 3 eller senare för upphovsrättsvillkor. Vi tar INGET ANSVAR.

Om du hittar fel i översättningen av denna manualsida, skicka ett mail till Tp-sv@listor.tp-sv.se.

15 september 2017 Linux