Ubuntu Manpage: cgroup_namespaces — översikt över Linux cgroup-namnrymder

NAMN

       cgroup_namespaces — översikt över Linux cgroup-namnrymder

BESKRIVNING

       För en översikt över namnrymder, se namespaces(7).

       Cgroup-namnrymder   virtualiserar   vyn  av  en  process  cgroup:er  (se  cgroups(7))  som  de  syns  via
       /proc/pid/cgroup och /proc/pid/mountinfo.

       Varje cgroup-namnrymd har sin egen uppsättning av cgroup-rotkataloger. Dessa rotkataloger är baspunkterna
       för de relativa platserna som visas i motsvarande poster i filen /proc/pid/cgroup. När en process  skapar
       en  ny  cgroup-namnrymd  med  clone(2)  eller  unshare(2)  med flaggan CLONE_NEWCGROUP blir dess aktuella
       cgroup-kataloger cgroup-rotkataloger i  den  nya  namnrymden.  (Detta  gäller  både  för  cgroup  version
       1-hierarkierna och den unifierade hierarkin i cgroup version 2.)

       När  man  läser  cgroup-medlemskapen  för en ”mål”-process från /proc/pid/cgroup kommer sökvägsnamnet som
       visas i det tredje fältet av  varje  post  att  vara  relativt  den  läsande  processens  rotkatalog  för
       motsvarande  cgroup-hierarki.  Om  cgroup-katalogen  för målprocessen ligger utanför rotkatalogen för den
       läsande  processens  cgroup-namnrymd  kommer  sökvägsnamnet  visa  ../-poster  för  varje  anfadernivå  i
       cgroup-hierarkin.

       Följande skalsession demonstrerar effekten av att skapa en ny cgroup-namnrymd.

       Först (som rot) i ett skal i den initiala cgroup-namnrymden skapar vi en barn-cgroup i hierarkin freezer,
       och lägger in en process i denna cgroup som vi kommer använda som en del av vår demonstration nedan:

           # mkdir -p /sys/fs/cgroup/freezer/sub2
           # sleep 10000 &     # Skapa en process som lever ett tag
           [1] 20124
           # echo 20124 > /sys/fs/cgroup/freezer/sub2/cgroup.procs

       Sedan skapar vi en annan barn-cgroup i hierarkin freezer och lägger in skalet i denna cgroup:

           # mkdir -p /sys/fs/cgroup/freezer/sub
           # echo $$                      # Visa detta skals PID
           30655
           # echo 30655 > /sys/fs/cgroup/freezer/sub/cgroup.procs
           # cat /proc/self/cgroup | grep freezer
           7:freezer:/sub

       Därefter  använder  vi  unshare(1)  för  att  skapa  en  process  som kör ett nytt skal i nya cgroup- och
       monteringsnamnrymder:

           # PS1="sh2# " unshare -Cm bash

       Från det nya skalet som startades av unshare(1) inspekterar vi sedan filerna /proc/pid/cgroup för det nya
       skalet, en process som finns i den initiala cgroup-namnrymden (init, med PID 1)  respektive  processen  i
       syskon-cgroup:en (sub2):

           sh2# cat /proc/self/cgroup | grep freezer
           7:freezer:/
           sh2# cat /proc/1/cgroup | grep freezer
           7:freezer:/..
           sh2# cat /proc/20124/cgroup | grep freezer
           7:freezer:/../sub2

       Från  utdata  från  det  första  kommandot ser vi att medlemskapet i cgroup:en freezer för det nya skalet
       (vilket finns i samma cgroup  som  det  initiala  skalet)  visas  definierat  relativt  rotkatalogen  för
       cgroup:en  freezer  som  etablerades  när den nya cgroup-namnrymden skapades. (I absoluta termer, det nya
       skalet  finns  i  freezer-cgroup:en  /sub,  och  rotkataloger  i  freezer-cgroup-hierarkin  i   den   nya
       cgroup-namnrymden är också /sub. Alltså, det nya skalets cgroup-medlemskap visas som '/'.)

       Dock, när vi tittar i /proc/self/mountinfo ser vi följande anomali:

           sh2# cat /proc/self/mountinfo | grep freezer
           155 145 0:32 /.. /sys/fs/cgroup/freezer …

       Det fjärde fältet på denna rad (/..) skulle visa katalogen i cgroup-filsystemet som utgör roten för denna
       montering.  Eftersom  enligt  definitionen  av  cgroup-namnrymder  processens aktuella cgroup-katalog för
       freezer blev dess rot-freezer-cgroup-katalog borde vi se '/' i detta fält. Problemet här är att vi ser en
       monteringspost för cgroup-filsystemet som motsvarar den initiala cgroup-namnrymden (vars cgroup-filsystem
       verkligen är rotat i föräldrakatalogen till sub).  För  att  lösa  detta  problem  måste  vi  montera  om
       freezer-cgroup-filsystemet  från  det  nya skalet (d.v.s., utföra monteringen från en process som finns i
       den nya cgroup-namnrymden), varefter vi ser det förväntade resultatet:

           sh2# mount --make-rslave /     # Propagera inte monteringshändelser
                                          # till andra namnrymder
           sh2# umount /sys/fs/cgroup/freezer
           sh2# mount -t cgroup -o freezer freezer /sys/fs/cgroup/freezer
           sh2# cat /proc/self/mountinfo | grep freezer
           155 145 0:32 / /sys/fs/cgroup/freezer rw,relatime …

STANDARDER

       Namnrymder är en Linux-specifik funktion.

NOTERINGAR

       Användning av cgroup-namnrymder kräver en kärna som är konfigurerad med alternativet CONFIG_CGROUPS.

       Virtualiseringen som erbjuds av cgroup-namnrymder tjänar ett antal syften:

       •  Det förhindrar att information läcker genom att en cgroup-katalogsökväg utanför  en  behållare  annars
          skulle  vara  synlig  för  processer  i behållaren. Sådant läckage skulle, till exempel, kunna avslöja
          information om behållarramverket för program i behållare.

       •  Det  förenklar  uppgifter  såsom   migrering   av   behållare.   Virtualiseringen   som   erbjuds   av
          cgroup-namnrymder  gör  att  behållare kan isoleras från kunskap om sökvägarna till anfader-cgroup:er.
          Utan sådan isolation skulle de fullständiga cgroup-sökvägarna (som visas i /proc/self/cgroups)  behöva
          återskapas på målsystemet när en behållare migreras; dessa sökvägsnamn skulle också behöva vara unika,
          så att de inte skulle stå i konflikt med andra sökvägsnamn på målsystemet.

       •  Det  möjliggör  bättre  begränsning  av  processer  i  behållare,  för  att det är möjligt att montera
          behållarens cgroup-filsystem så att behållarprocessen inte kan få tillgång till kataloger för anfäders
          cgroup. Betänk, till exempel, följande scenario:

          •  Vi har en cgroup-katalog, /cg/1, som ägs av användar-ID 9000.

          •  Vi har en process, X, som också ägs av användar-ID 9000, som har namnrymden  under  cgroup  /cg/1/2
             (d.v.s.,   X  placerades  i  en  ny  cgroup-namnrymd  via  clone(2)  eller  unshare(2)  med  flagga
             CLONE_NEWCGROUP.

          I avsaknad av cgroup-namnrymder skulle, eftersom cgroup-katalogen /cg/1 ägs (och är skrivbar)  av  AID
          9000  och  processen  X också ägs av användar-ID 9000, process X kunna ändra innehållet i cgroup-filer
          (d.v.s., ändra cgroup-inställningar) inte bara i /cg/1/2 utan även i  anfader-cgroup-katalogen  /cg/1.
          Att   namnrymda   processen   X   under   cgroup-katalogen   /cg/1/2,   i   kombination  med  lämpliga
          monteringsoperationer av cgroup-filsystemet (som visas ovan), förhindrar den från att  ändra  filer  i
          /cg/1,   eftersom   den   inte   ens  kan  se  innehållet  i  den  katalogen  (eller  i  mer  avlägsna
          cgroup-anfaderkataloger).  Kombinerat  med  korrekt  verkställighet   av   hierarkiska   begränsningar
          förhindrar detta process X från att fly från begränsningarna som läggs på av anfader-cgroup:er.

SE ÄVEN

       unshare(1),   clone(2),   setns(2),   unshare(2),  proc(5),  cgroups(7),  credentials(7),  namespaces(7),
       user_namespaces(7)

ÖVERSÄTTNING

       Den svenska översättningen av denna manualsida skapades av Göran Uddeborg <goeran@uddeborg.se>

       Denna översättning är  fri  dokumentation;  läs  GNU General Public License Version 3  eller  senare  för
       upphovsrättsvillkor. Vi tar INGET ANSVAR.

       Om du hittar fel i översättningen av denna manualsida, skicka ett mail till Tp-sv@listor.tp-sv.se.

Linux man-pages 6.03                             5 februari 2023                            cgroup_namespaces(7)