Man page - cgroup_namespaces(7)

Packages contains this manual

Package:  manpages
apt-get install manpages

Manuals in package:
• shm_overview(7)
• nss(5)
• proc_mtrr(5)
• intro(7)
• tcp(7)
• iso_8859-9(7)
• armscii-8(7)
• proc_kpagecount(5)
• initrd(4)
• mouse(4)
• proc_stat(5)
• x25(7)
• proc_interrupts(5)
• fifo(7)
• repertoiremap(5)
• icmp(7)
• futex(7)
• feature_test_macros(7)
• lp(4)
• bpf-helpers(7)
• epoll(7)
• proc_sys_dev(5)
• namespaces(7)
• proc_sysrq-trigger(5)
• proc_bus(5)
• cp1251(7)
• proc_pid_maps(5)
• proc_sys_vm(5)
• proc_pid_projid_map(5)
• st(4)
• proc_pid(5)
• issue(5)
• pid_namespaces(7)
• unicode(7)
• inode(7)
• hosts.equiv(5)
• iso-8859-13(7)
• proc_fb(5)
• proc_modules(5)
• proc_pid_autogroup(5)
• keyrings(7)
• sysvipc(7)
• proc_kmsg(5)
• cgroups(7)
• latin6(7)
• proc_pid_uid_map(5)
• unix(7)
• proc_pid_io(5)
• pts(4)
• packet(7)
• ld-linux.so(8)
• tzselect(8)
• iconv(1)
• proc_pid_syscall(5)
• proc_pid_net(5)
• proc_pid_pagemap(5)
• tty(4)
• proc_profile(5)
• standards(7)
• proc_pid_mounts(5)
• filesystems(5)
• iso-8859-15(7)
• locale(5)
• iso_8859_3(7)
• xattr(7)
• iso-8859-2(7)
• proc_uptime(5)
• persistent-keyring(7)
• credentials(7)
• proc_pid_timers(5)
• utmpx(5)
• vcsa(4)
• proc_pid_exe(5)
• proc_net(5)
• proc_timer_stats(5)
• ip(7)
• proc_pid_fd(5)
• ptmx(4)
• user_namespaces(7)
• resolv.conf(5)
• url(7)
• iso_8859_5(7)
• iso_8859-8(7)
• urn(7)
• process-keyring(7)
• proc_pid_auxv(5)
• proc_ksyms(5)
• proc_ide(5)
• veth(4)
• ldd(1)
• proc_swaps(5)
• landlock(7)
• proc_vmstat(5)
• system_data_types(7)
• cp1252(7)
• lirc(4)
• proc_kpageflags(5)
• random(7)
• precedence(7)
• cpuset(7)
• proc_pid_ns(5)
• acct(5)
• latin4(7)
• proc_pid_cgroup(5)
• proc_cpuinfo(5)
• iso_8859-2(7)
• proc_keys(5)
• charsets(7)
• pldd(1)
• proc_pid_stat(5)
• rtnetlink(7)
• netlink(7)
• ram(4)
• mem(4)
• iso-8859-6(7)
• proc_key-users(5)
• iso_8859_15(7)
• fanotify(7)
• proc_sys_net(5)
• sysfs(5)
• math_error(7)
• latin1(7)
• proc_pid_root(5)
• nptl(7)
• proc_cgroups(5)
• proc_iomem(5)
• proc_pid_statm(5)
• sem_overview(7)
• hier(7)
• full(4)
• proc_pid_status(5)
• proc_pid_cwd(5)
• proc_pid_cpuset(5)
• proc_scsi(5)
• uri(7)
• proc_diskstats(5)
• iso_8859_6(7)
• latin2(7)
• latin5(7)
• man-pages(7)
• ld.so(8)
• uts_namespaces(7)
• proc_pid_mountstats(5)
• intro(3)
• proc_pid_seccomp(5)
• proc_pid_wchan(5)
• attributes(7)
• symlink(7)
• mount_namespaces(7)
• charmap(5)
• tis-620(7)
• iso-8859-10(7)
• getent(1)
• proc_buddyinfo(5)
• ttytype(5)
• rtc(4)
• proc_malloc(5)
• suffixes(7)
• sln(8)
• signal(7)
• proc_sys_abi(5)
• signal-safety(7)
• time_namespaces(7)
• proc_pid_comm(5)
• raw(7)
• gai.conf(5)
• proc_crypto(5)
• locale(1)
• iso-8859-3(7)
• motd(5)
• proc_meminfo(5)
• iso-8859-8(7)
• protocols(5)
• proc_pid_map_files(5)
• pthreads(7)
• null(4)
• proc(5)
• zdump(8)
• socket(7)
• proc_sys_kernel(5)
• ddp(7)
• memusagestat(1)
• hd(4)
• iso-8859-14(7)
• shells(5)
• pipe(7)
• glob(7)
• proc_self(5)
• network_namespaces(7)
• utmp(5)
• proc_kcore(5)
• nsswitch.conf(5)
• sd(4)
• iso-8859-5(7)
• iso_8859_16(7)
• man(7)
• iso_8859-6(7)
• dir_colors(5)
• mq_overview(7)
• vsock(7)
• ascii(7)
• thread-keyring(7)
• fs(5)
• proc_pid_attr(5)
• proc_sys_debug(5)
• proc_sys(5)
• proc_pid_cmdline(5)
• pty(7)
• services(5)
• cgroup_namespaces(7)
• securetty(5)
• netdevice(7)
• iso_8859_13(7)
• host.conf(5)
• proc_pid_setgroups(5)
• proc_slabinfo(5)
• sock_diag(7)
• iso_8859-14(7)
• iso-8859-11(7)
• iso_8859_11(7)
• operator(7)
• regex(7)
• wavelan(4)
• proc_sys_fs(5)
• nologin(5)
• proc_pci(5)
• koi8-r(7)
• erofs(5)
• intro(2)
• utf8(7)
• proc_kallsyms(5)
• proc_sysvipc(5)
• queue(7)
• proc_sys_sunrpc(5)
• intro(5)
• latin8(7)
• mtrace(1)
• ipc_namespaces(7)
• dsp56k(4)
• iso_8859_4(7)
• proc_pid_smaps(5)
• proc_cmdline(5)
• rpc(5)
• proc_tty(5)
• proc_version(5)
• smartpqi(4)
• proc_pid_timerslack_ns(5)
• aio(7)
• session-keyring(7)
• resolver(5)
• slabinfo(5)
• wtmp(5)
• iso_8859_9(7)
• proc_locks(5)
• mailaddr(7)
• proc_pid_oom_score(5)
• kmem(4)
• iconvconfig(8)
• iso_8859-7(7)
• glibc(7)
• hostname(7)
• proc_thread-self(5)
• ipv6(7)
• iso_8859_7(7)
• proc_kpagecgroup(5)
• core(5)
• time(7)
• units(7)
• proc_dma(5)
• loop(4)
• address_families(7)
• zero(4)
• intro(4)
• procfs(5)
• iso_8859-4(7)
• vdso(7)
• tmpfs(5)
• iso-8859-16(7)
• iso_8859_10(7)
• user-session-keyring(7)
• libc(7)
• proc_fs(5)
• koi8-u(7)
• latin3(7)
• proc_tid_children(5)
• proc_pid_limits(5)
• proc_pid_coredump_filter(5)
• iso_8859-15(7)
• arp(7)
• urandom(4)
• iso_8859-10(7)
• hpsa(4)
• proc_pid_environ(5)
• boot(7)
• ftm(7)
• ld-linux(8)
• proc_driver(5)
• loop-control(4)
• iso_8859-16(7)
• proc_filesystems(5)
• tzfile(5)
• sprof(1)
• proc_pid_task(5)
• proc_pid_oom_score_adj(5)
• proc_mounts(5)
• iso-8859-4(7)
• iso_8859-1(7)
• utf-8(7)
• iso_8859-13(7)
• intro(6)
• proc_timer_list(5)
• rtld-audit(7)
• iso_8859-3(7)
• group(5)
• sched(7)
• proc_pid_clear_refs(5)
• hosts(5)
• iso_8859-11(7)
• numa(7)
• iso_8859_2(7)
• locale(7)
• iso-8859-1(7)
• fuse(4)
• proc_tid(5)
• proc_execdomains(5)
• proc_pid_mountinfo(5)
• intro(8)
• iso_8859_8(7)
• proc_loadavg(5)
• proc_pid_oom_adj(5)
• re_format(7)
• iso_8859_14(7)
• zic(8)
• bootparam(7)
• inotify(7)
• posixoptions(7)
• proc_partitions(5)
• iso-8859-9(7)
• proc_pid_mem(5)
• networks(5)
• proc_sys_user(5)
• udp(7)
• proc_zoneinfo(5)
• latin10(7)
• proc_pid_fdinfo(5)
• proc_pid_stack(5)
• memusage(1)
• spufs(7)
• pkeys(7)
• path_resolution(7)
• proc_ioports(5)
• intro(1)
• ldconfig(8)
• msr(4)
• svipc(7)
• port(4)
• proc_pid_personality(5)
• cciss(4)
• latin9(7)
• capabilities(7)
• localedef(1)
• vcs(4)
• iso_8859-5(7)
• elf(5)
• proc_sys_proc(5)
• console_codes(4)
• random(4)
• iso-8859-7(7)
• termcap(5)
• cpuid(4)
• environ(7)
• string_copying(7)
• proc_pid_gid_map(5)
• queue(3)
• termio(7)
• user-keyring(7)
• complex(7)
• latin7(7)
• proc_config.gz(5)
• udplite(7)
• kernel_lockdown(7)
• proc_devices(5)
• proc_apm(5)
• iso_8859_1(7)
• proc_pid_numa_maps(5)
Documentations in package:
• manpages

Available languages:

en fr sv ro de

Manual

cgroup_namespaces

BEZEICHNUNG
BESCHREIBUNG
STANDARDS
ANMERKUNGEN
SIEHE AUCH
ÜBERSETZUNG

---

BEZEICHNUNG

cgroup_namespaces - Überblick über Linux-Cgroup-Namensräume

BESCHREIBUNG

Für einen Überblick über Namensräume, siehe namespaces (7).

Cgroup-Namensräume virtualisieren den Blick auf die Cgroups eines Prozesses (siehe cgroups (7)), wie er mittels /proc/ PID /cgroup und /proc/ PID /mountinfo gesehen wird.

Jeder Cgroup-Namensraum hat seine eigene Gruppe an Cgroup-Wurzelverzeichnissen. Diese Wurzelverzeichnisse sind die Basispunkte der relativen Orte, die in den entsprechenden Datensätzen in der Datei /proc/ PID /cgroup angezeigt werden. Wenn ein Prozess mittels clone (2) oder unshare (2) mit dem Schalter CLONE_NEWCGROUP einen neuen Cgroup-Namensraum erstellt, werden seine aktuellen Cgroup-Verzeichnisse das Cgroup-Wurzelverzeichnis des neuen Namensraumes. (Dies gilt sowohl für die Cgroup-Version-1-Hierarchien als auch die vereinigte Cgroup-Version-2-Hierarchie.)

Wenn die Cgroup-Mitgliedschaft eines »Ziel«-Prozesses aus /proc/ PID /cgroup gelesen wird, wird der im dritten Feld jedes Datensatzes angezeigte Pfadname relativ zu dem Wurzelverzeichnis der entsprechenden Cgroup-Hierarchie des lesenden Prozesses sein. Falls das Cgroup-Verzeichnis des Zielprozesses außerhalb des Wurzelverzeichnisses des Cgroup-Namensraums des lesenden Prozesses liegt, dann wird der Pfadname ../ -Einträge für jede Vorgängerstufe in der Cgroup-Hierarchie anzeigen.

Die folgende Shell-Sitzung zeigt die Auswirkung der Erstellung eines neuen Cgroup-Namensraumes.

Zuerst wird (als Systemverwalter) in einer Shell im anfänglichen Cgroup-Namensraum eine Nachfolger-Cgroup in der freezer -Hierarchie erstellt und ein Prozess in dieser Cgroup abgelegt, der als Teil der nachfolgenden Vorstellung verwandt wird:

# mkdir -p /sys/fs/cgroup/freezer/sub2
# sleep 10000 & # Erzeugung eines Prozesses, der eine Zeit lebt
[1] 20124
# echo 20124 > /sys/fs/cgroup/freezer/sub2/cgroup.procs

Dann wird eine andere Cgroup in der freezer -Hierachie erstellt und die Shell in diese Gruppe versetzt:

# mkdir -p /sys/fs/cgroup/freezer/sub
# echo $$ # PID dieser Shell zeigen
30655
# echo 30655 > /sys/fs/cgroup/freezer/sub/cgroup.procs
# cat /proc/self/cgroup | grep freezer
7:freezer:/sub

Als nächstes wird unshare (1) verwandt, um einen Prozess zu erzeugen, der in einer neuen Shell in dem neuen Cgroup- und Einhängenamensraum läuft:

# PS1="sh2# " unshare -Cm bash

Von der neuen durch unshare (1) gestarteten Shell werden dann die Dateien /proc/ PID /cgroup der neuen Shell, eines Prozesse in dem anfänglichen Cgroup-Namensraum (( init mit PID 1) bzw. des Prozesses in der benachbarten Cgroup ( sub2 ) untersucht:

sh2# cat /proc/self/cgroup | grep freezer
7:freezer:/
sh2# cat /proc/1/cgroup | grep freezer
7:freezer:/..
sh2# cat /proc/20124/cgroup | grep freezer
7:freezer:/../sub2

In der Ausgabe des ersten Befehls kann gesehen werden, dass die Freezer-Cgroup-Mitgliedschaft der neuen Shell (die in der gleichen Cgroup wie die anfängliche Shell ist) relativ zum Wurzelverzeichnis der Freezer-Cgroup definiert angezeigt wird, die etabliert wurde, als der neue Cgroup-Namensraum erstellt wurde. (Absolut gesehen ist die neue Shell in der Freezer-Cgroup /sub und das Wurzelverzeichnis der Freezer-Cgroup-Hierarchie in dem neuen Cgroup-Namensraum auch /sub . Daher wird die Cgroup-Mitgliedschaft der neuen Shell als »/« angezeigt.)

Wird allerdings in /proc/self/mountinfo geschaut, taucht folgende Anomalie auf:

sh2# cat /proc/self/mountinfo | grep freezer
155 145 0:32 /.. /sys/fs/cgroup/freezer …

Das vierte Feld dieser Zeile ( /.. ) sollte das Verzeichnis in dem Cgroup-Dateisystem anzeigen, das die Wurzel dieser Einhängung formt. Da per Definition von Cgroup-Namensräumen das aktuelle Freezer-Cgroup-Verzeichnis des aktuellen Prozesses sein Wurzel-Freezer-Cgroup-Verzeichnis wurde, sollte in diesem Feld »/« auftauchen. Das Problem hier ist, dass ein Einhängeeintrag für das Cgroup-Dateisystem gezeigt wird, das dem anfänglichen Cgroup-Namensraum entspricht (dessen Cgroup-Dateisystem tatsächlich am übergeordneten Verzeichnis von sub verwurzelt ist). Um dieses Problem zu beheben, muss das Freezer-Cgroup-Dateisystem aus der neuen Shell neu eingehängt werden (d.h. die Einhängung muss von einem Prozess durchgeführt werden, der in dem neuen Cgroup-Namensraum ist). Danach kann das erwartete Ergebnis gesehen werden:

sh2# mount --make-rslave / # Einhänge-Ereignisse nicht in
# andere Namensräume weiterleiten
sh2# umount /sys/fs/cgroup/freezer
sh2# mount -t cgroup -o freezer freezer /sys/fs/cgroup/freezer
sh2# cat /proc/self/mountinfo | grep freezer
155 145 0:32 / /sys/fs/cgroup/freezer rw,relatime …

STANDARDS

Linux.

ANMERKUNGEN

Die Verwendung von Cgroup-Namensräumen benötigt einen Kernel, der mit der Option CONFIG_CGROUPS konfiguriert ist.

Die durch Cgroup-Namensräume bereitgestellte Virtualisierung dient einer Reihe von Zwecken:

	•		Sie verhindert Informationslecks, durch die Cgroup-Verzeichnispfade außerhalb eines Containers andernfalls für Prozesse innerhalb des Containers sichtbar sind. Solche Lecks könnten beispielsweise Informationen über das umgebende Container-System an Anwendungen innerhalb von Containern offenlegen.
	•		Sie erleichtern Aufgaben wie Container-Migration. Die durch Cgroup-Namensräume bereitgestellte Virtualisierung erlaubt es, Container vom Wissen über die Pfadnamen von Vorgängern-Cgroups zu isolieren. Ohne solche Isolierungen müssten die vollständigen Cgroup-Pfadnamen (angezeigt in /proc/self/cgroups ) auf dem Zielsystem bei der Migration eines Containers repliziert werden; diese Pfadnamen müssten auch eindeutig sein, so dass sie nicht zu anderen Pfadnamen auf dem Zielsystem in Konflikt stehen.
	•		Sie erlauben bessere Einsperrungen von Prozessen in Containern, da es möglich ist, das Cgroup-Dateisystem des Containers so einzuhängen, dass der Prozess im Container keinen Zugriff auf die Vorgänger-Cgroup-Verzeichnisse erlangen kann. Betrachten Sie beispielsweise folgendes Szenario:

•

			Es gibt ein Cgroup-Verzeichnis /cg/1 , das der Benutzerkennung 9000 gehört.
	•		Es gibt einen Prozess X , der auch der Benutzerkennung 9000 gehört, der im Namensraum unterhalb der Cgroup /cg/1/2 ist (d.h. X wurde in einen neuen Cgroup-Namensraum mittels clone (2) oder unshare (2) mit dem Schalter CLONE_NEWCGROUP gebracht).

Da das Cgroup-Verzeichnis /cg/1 der UID 9000 gehört (und für sie schreibbar ist) und X auch der UID 9000 gehört, wäre der Prozess X , in Abwesenheit von Cgroup-Namensräumen, in der Lage, die Inhalte der Cgroup-Dateien zu verändern (d.h. die Cgroup-Einstellungen zu ändern), nicht nur in /cg/1/2 , sondern auch in dem Vorgänger-Cgroup-Verzeichnis /cg/1 . Da der Prozess X im Namensraum unter dem Cgroup-Verzeichnis /cg/1/2 ist, wird, in Zusammenhang mit geeigneten Einhängeaktionen für das Cgroup-Dateisystem (wie oben gezeigt), verhindert, dass er Dateien in /cg/1 verändert, da er noch nicht einmal die Inhalte dieses Verzeichnisses (oder von weiter entfernten Cgroup-Vorgänger-Verzeichnissen) sehen kann. In Zusammenspiel mit der korrekten Durchsetzung von hierarchischen Beschränkungen verhindert dies, dass Prozess X diesen von den Vorgänger-Cgroups auferlegten Beschränkungen entkommt.

SIEHE AUCH

unshare (1), clone (2), setns (2), unshare (2), proc (5), cgroups (7), credentials (7), namespaces (7), user_namespaces (7)

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org .

---