Man page - cgroup_namespaces(7)

Packages contains this manual

Package:  manpages
apt-get install manpages

Manuals in package:
• shm_overview(7)
• nss(5)
• proc_mtrr(5)
• intro(7)
• tcp(7)
• iso_8859-9(7)
• armscii-8(7)
• proc_kpagecount(5)
• initrd(4)
• mouse(4)
• proc_stat(5)
• x25(7)
• proc_interrupts(5)
• fifo(7)
• repertoiremap(5)
• icmp(7)
• futex(7)
• feature_test_macros(7)
• lp(4)
• bpf-helpers(7)
• epoll(7)
• proc_sys_dev(5)
• namespaces(7)
• proc_sysrq-trigger(5)
• proc_bus(5)
• cp1251(7)
• proc_pid_maps(5)
• proc_sys_vm(5)
• proc_pid_projid_map(5)
• st(4)
• proc_pid(5)
• issue(5)
• pid_namespaces(7)
• unicode(7)
• inode(7)
• hosts.equiv(5)
• iso-8859-13(7)
• proc_fb(5)
• proc_modules(5)
• proc_pid_autogroup(5)
• keyrings(7)
• sysvipc(7)
• proc_kmsg(5)
• cgroups(7)
• latin6(7)
• proc_pid_uid_map(5)
• unix(7)
• proc_pid_io(5)
• pts(4)
• packet(7)
• ld-linux.so(8)
• tzselect(8)
• iconv(1)
• proc_pid_syscall(5)
• proc_pid_net(5)
• proc_pid_pagemap(5)
• tty(4)
• proc_profile(5)
• standards(7)
• proc_pid_mounts(5)
• filesystems(5)
• iso-8859-15(7)
• locale(5)
• iso_8859_3(7)
• xattr(7)
• iso-8859-2(7)
• proc_uptime(5)
• persistent-keyring(7)
• credentials(7)
• proc_pid_timers(5)
• utmpx(5)
• vcsa(4)
• proc_pid_exe(5)
• proc_net(5)
• proc_timer_stats(5)
• ip(7)
• proc_pid_fd(5)
• ptmx(4)
• user_namespaces(7)
• resolv.conf(5)
• url(7)
• iso_8859_5(7)
• iso_8859-8(7)
• urn(7)
• process-keyring(7)
• proc_pid_auxv(5)
• proc_ksyms(5)
• proc_ide(5)
• veth(4)
• ldd(1)
• proc_swaps(5)
• landlock(7)
• proc_vmstat(5)
• system_data_types(7)
• cp1252(7)
• lirc(4)
• proc_kpageflags(5)
• random(7)
• precedence(7)
• cpuset(7)
• proc_pid_ns(5)
• acct(5)
• latin4(7)
• proc_pid_cgroup(5)
• proc_cpuinfo(5)
• iso_8859-2(7)
• proc_keys(5)
• charsets(7)
• pldd(1)
• proc_pid_stat(5)
• rtnetlink(7)
• netlink(7)
• ram(4)
• mem(4)
• iso-8859-6(7)
• proc_key-users(5)
• iso_8859_15(7)
• fanotify(7)
• proc_sys_net(5)
• sysfs(5)
• math_error(7)
• latin1(7)
• proc_pid_root(5)
• nptl(7)
• proc_cgroups(5)
• proc_iomem(5)
• proc_pid_statm(5)
• sem_overview(7)
• hier(7)
• full(4)
• proc_pid_status(5)
• proc_pid_cwd(5)
• proc_pid_cpuset(5)
• proc_scsi(5)
• uri(7)
• proc_diskstats(5)
• iso_8859_6(7)
• latin2(7)
• latin5(7)
• man-pages(7)
• ld.so(8)
• uts_namespaces(7)
• proc_pid_mountstats(5)
• intro(3)
• proc_pid_seccomp(5)
• proc_pid_wchan(5)
• attributes(7)
• symlink(7)
• mount_namespaces(7)
• charmap(5)
• tis-620(7)
• iso-8859-10(7)
• getent(1)
• proc_buddyinfo(5)
• ttytype(5)
• rtc(4)
• proc_malloc(5)
• suffixes(7)
• sln(8)
• signal(7)
• proc_sys_abi(5)
• signal-safety(7)
• time_namespaces(7)
• proc_pid_comm(5)
• raw(7)
• gai.conf(5)
• proc_crypto(5)
• locale(1)
• iso-8859-3(7)
• motd(5)
• proc_meminfo(5)
• iso-8859-8(7)
• protocols(5)
• proc_pid_map_files(5)
• pthreads(7)
• null(4)
• proc(5)
• zdump(8)
• socket(7)
• proc_sys_kernel(5)
• ddp(7)
• memusagestat(1)
• hd(4)
• iso-8859-14(7)
• shells(5)
• pipe(7)
• glob(7)
• proc_self(5)
• network_namespaces(7)
• utmp(5)
• proc_kcore(5)
• nsswitch.conf(5)
• sd(4)
• iso-8859-5(7)
• iso_8859_16(7)
• man(7)
• iso_8859-6(7)
• dir_colors(5)
• mq_overview(7)
• vsock(7)
• ascii(7)
• thread-keyring(7)
• fs(5)
• proc_pid_attr(5)
• proc_sys_debug(5)
• proc_sys(5)
• proc_pid_cmdline(5)
• pty(7)
• services(5)
• cgroup_namespaces(7)
• securetty(5)
• netdevice(7)
• iso_8859_13(7)
• host.conf(5)
• proc_pid_setgroups(5)
• proc_slabinfo(5)
• sock_diag(7)
• iso_8859-14(7)
• iso-8859-11(7)
• iso_8859_11(7)
• operator(7)
• regex(7)
• wavelan(4)
• proc_sys_fs(5)
• nologin(5)
• proc_pci(5)
• koi8-r(7)
• erofs(5)
• intro(2)
• utf8(7)
• proc_kallsyms(5)
• proc_sysvipc(5)
• queue(7)
• proc_sys_sunrpc(5)
• intro(5)
• latin8(7)
• mtrace(1)
• ipc_namespaces(7)
• dsp56k(4)
• iso_8859_4(7)
• proc_pid_smaps(5)
• proc_cmdline(5)
• rpc(5)
• proc_tty(5)
• proc_version(5)
• smartpqi(4)
• proc_pid_timerslack_ns(5)
• aio(7)
• session-keyring(7)
• resolver(5)
• slabinfo(5)
• wtmp(5)
• iso_8859_9(7)
• proc_locks(5)
• mailaddr(7)
• proc_pid_oom_score(5)
• kmem(4)
• iconvconfig(8)
• iso_8859-7(7)
• glibc(7)
• hostname(7)
• proc_thread-self(5)
• ipv6(7)
• iso_8859_7(7)
• proc_kpagecgroup(5)
• core(5)
• time(7)
• units(7)
• proc_dma(5)
• loop(4)
• address_families(7)
• zero(4)
• intro(4)
• procfs(5)
• iso_8859-4(7)
• vdso(7)
• tmpfs(5)
• iso-8859-16(7)
• iso_8859_10(7)
• user-session-keyring(7)
• libc(7)
• proc_fs(5)
• koi8-u(7)
• latin3(7)
• proc_tid_children(5)
• proc_pid_limits(5)
• proc_pid_coredump_filter(5)
• iso_8859-15(7)
• arp(7)
• urandom(4)
• iso_8859-10(7)
• hpsa(4)
• proc_pid_environ(5)
• boot(7)
• ftm(7)
• ld-linux(8)
• proc_driver(5)
• loop-control(4)
• iso_8859-16(7)
• proc_filesystems(5)
• tzfile(5)
• sprof(1)
• proc_pid_task(5)
• proc_pid_oom_score_adj(5)
• proc_mounts(5)
• iso-8859-4(7)
• iso_8859-1(7)
• utf-8(7)
• iso_8859-13(7)
• intro(6)
• proc_timer_list(5)
• rtld-audit(7)
• iso_8859-3(7)
• group(5)
• sched(7)
• proc_pid_clear_refs(5)
• hosts(5)
• iso_8859-11(7)
• numa(7)
• iso_8859_2(7)
• locale(7)
• iso-8859-1(7)
• fuse(4)
• proc_tid(5)
• proc_execdomains(5)
• proc_pid_mountinfo(5)
• intro(8)
• iso_8859_8(7)
• proc_loadavg(5)
• proc_pid_oom_adj(5)
• re_format(7)
• iso_8859_14(7)
• zic(8)
• bootparam(7)
• inotify(7)
• posixoptions(7)
• proc_partitions(5)
• iso-8859-9(7)
• proc_pid_mem(5)
• networks(5)
• proc_sys_user(5)
• udp(7)
• proc_zoneinfo(5)
• latin10(7)
• proc_pid_fdinfo(5)
• proc_pid_stack(5)
• memusage(1)
• spufs(7)
• pkeys(7)
• path_resolution(7)
• proc_ioports(5)
• intro(1)
• ldconfig(8)
• msr(4)
• svipc(7)
• port(4)
• proc_pid_personality(5)
• cciss(4)
• latin9(7)
• capabilities(7)
• localedef(1)
• vcs(4)
• iso_8859-5(7)
• elf(5)
• proc_sys_proc(5)
• console_codes(4)
• random(4)
• iso-8859-7(7)
• termcap(5)
• cpuid(4)
• environ(7)
• string_copying(7)
• proc_pid_gid_map(5)
• queue(3)
• termio(7)
• user-keyring(7)
• complex(7)
• latin7(7)
• proc_config.gz(5)
• udplite(7)
• kernel_lockdown(7)
• proc_devices(5)
• proc_apm(5)
• iso_8859_1(7)
• proc_pid_numa_maps(5)
Documentations in package:
• manpages

Available languages:

en fr sv ro de

Manual

cgroup_namespaces

NAMN
BESKRIVNING
STANDARDER
NOTERINGAR
SE ÄVEN
ÖVERSÄTTNING

---

NAMN

cgroup_namespaces — översikt över Linux cgroup-namnrymder

BESKRIVNING

För en översikt över namnrymder, se namespaces (7).

Cgroup-namnrymder virtualiserar vyn av en process cgroup:er (se cgroups (7)) som de syns via /proc/ pid /cgroup och /proc/ pid /mountinfo .

Varje cgroup-namnrymd har sin egen uppsättning av cgroup-rotkataloger. Dessa rotkataloger är baspunkterna för de relativa platserna som visas i motsvarande poster i filen /proc/ pid /cgroup . När en process skapar en ny cgroup-namnrymd med clone (2) eller unshare (2) med flaggan CLONE_NEWCGROUP blir dess aktuella cgroup-kataloger cgroup-rotkataloger i den nya namnrymden. (Detta gäller både för cgroup version 1-hierarkierna och den unifierade hierarkin i cgroup version 2.)

När man läser cgroup-medlemskapen för en ”mål”-process från /proc/ pid /cgroup kommer sökvägsnamnet som visas i det tredje fältet av varje post att vara relativt den läsande processens rotkatalog för motsvarande cgroup-hierarki. Om cgroup-katalogen för målprocessen ligger utanför rotkatalogen för den läsande processens cgroup-namnrymd kommer sökvägsnamnet visa ../ -poster för varje anfadernivå i cgroup-hierarkin.

Följande skalsession demonstrerar effekten av att skapa en ny cgroup-namnrymd.

Först (som rot) i ett skal i den initiala cgroup-namnrymden skapar vi en barn-cgroup i hierarkin freezer , och lägger in en process i denna cgroup som vi kommer använda som en del av vår demonstration nedan:

# mkdir -p /sys/fs/cgroup/freezer/sub2
# sleep 10000 & # Skapa en process som lever ett tag
[1] 20124
# echo 20124 > /sys/fs/cgroup/freezer/sub2/cgroup.procs

Sedan skapar vi en annan barn-cgroup i hierarkin freezer och lägger in skalet i denna cgroup:

# mkdir -p /sys/fs/cgroup/freezer/sub
# echo $$ # Visa detta skals PID
30655
# echo 30655 > /sys/fs/cgroup/freezer/sub/cgroup.procs
# cat /proc/self/cgroup | grep freezer
7:freezer:/sub

Därefter använder vi unshare (1) för att skapa en process som kör ett nytt skal i nya cgroup- och monteringsnamnrymder:

# PS1="sh2# " unshare -Cm bash

Från det nya skalet som startades av unshare (1) inspekterar vi sedan filerna /proc/ pid /cgroup för det nya skalet, en process som finns i den initiala cgroup-namnrymden ( init , med PID 1) respektive processen i syskon-cgroup:en ( sub2 ):

sh2# cat /proc/self/cgroup | grep freezer
7:freezer:/
sh2# cat /proc/1/cgroup | grep freezer
7:freezer:/..
sh2# cat /proc/20124/cgroup | grep freezer
7:freezer:/../sub2

Från utdata från det första kommandot ser vi att medlemskapet i cgroup:en freezer för det nya skalet (vilket finns i samma cgroup som det initiala skalet) visas definierat relativt rotkatalogen för cgroup:en freezer som etablerades när den nya cgroup-namnrymden skapades. (I absoluta termer, det nya skalet finns i freezer-cgroup:en /sub , och rotkataloger i freezer-cgroup-hierarkin i den nya cgroup-namnrymden är också /sub . Alltså, det nya skalets cgroup-medlemskap visas som '/'.)

Dock, när vi tittar i /proc/self/mountinfo ser vi följande anomali:

sh2# cat /proc/self/mountinfo | grep freezer
155 145 0:32 /.. /sys/fs/cgroup/freezer …

Det fjärde fältet på denna rad ( /.. ) skulle visa katalogen i cgroup-filsystemet som utgör roten för denna montering. Eftersom enligt definitionen av cgroup-namnrymder processens aktuella cgroup-katalog för freezer blev dess rot-freezer-cgroup-katalog borde vi se '/' i detta fält. Problemet här är att vi ser en monteringspost för cgroup-filsystemet som motsvarar den initiala cgroup-namnrymden (vars cgroup-filsystem verkligen är rotat i föräldrakatalogen till sub ). För att lösa detta problem måste vi montera om freezer-cgroup-filsystemet från det nya skalet (d.v.s., utföra monteringen från en process som finns i den nya cgroup-namnrymden), varefter vi ser det förväntade resultatet:

sh2# mount --make-rslave / # Propagera inte monteringshändelser
# till andra namnrymder
sh2# umount /sys/fs/cgroup/freezer
sh2# mount -t cgroup -o freezer freezer /sys/fs/cgroup/freezer
sh2# cat /proc/self/mountinfo | grep freezer
155 145 0:32 / /sys/fs/cgroup/freezer rw,relatime …

STANDARDER

Linux.

NOTERINGAR

Användning av cgroup-namnrymder kräver en kärna som är konfigurerad med alternativet CONFIG_CGROUPS .

Virtualiseringen som erbjuds av cgroup-namnrymder tjänar ett antal syften:

	•		Det förhindrar att information läcker genom att en cgroup-katalogsökväg utanför en behållare annars skulle vara synlig för processer i behållaren. Sådant läckage skulle, till exempel, kunna avslöja information om behållarramverket för program i behållare.
	•		Det förenklar uppgifter såsom migrering av behållare. Virtualiseringen som erbjuds av cgroup-namnrymder gör att behållare kan isoleras från kunskap om sökvägarna till anfader-cgroup:er. Utan sådan isolation skulle de fullständiga cgroup-sökvägarna (som visas i /proc/self/cgroups ) behöva återskapas på målsystemet när en behållare migreras; dessa sökvägsnamn skulle också behöva vara unika, så att de inte skulle stå i konflikt med andra sökvägsnamn på målsystemet.
	•		Det möjliggör bättre begränsning av processer i behållare, för att det är möjligt att montera behållarens cgroup-filsystem så att behållarprocessen inte kan få tillgång till kataloger för anfäders cgroup. Betänk, till exempel, följande scenario:

•

			Vi har en cgroup-katalog, /cg/1 , som ägs av användar-ID 9000.
	•		Vi har en process, X , som också ägs av användar-ID 9000, som har namnrymden under cgroup /cg/1/2 (d.v.s., X placerades i en ny cgroup-namnrymd via clone (2) eller unshare (2) med flagga CLONE_NEWCGROUP .

I avsaknad av cgroup-namnrymder skulle, eftersom cgroup-katalogen /cg/1 ägs (och är skrivbar) av AID 9000 och processen X också ägs av användar-ID 9000, process X kunna ändra innehållet i cgroup-filer (d.v.s., ändra cgroup-inställningar) inte bara i /cg/1/2 utan även i anfader-cgroup-katalogen /cg/1 . Att namnrymda processen X under cgroup-katalogen /cg/1/2 , i kombination med lämpliga monteringsoperationer av cgroup-filsystemet (som visas ovan), förhindrar den från att ändra filer i /cg/1 , eftersom den inte ens kan se innehållet i den katalogen (eller i mer avlägsna cgroup-anfaderkataloger). Kombinerat med korrekt verkställighet av hierarkiska begränsningar förhindrar detta process X från att fly från begränsningarna som läggs på av anfader-cgroup:er.

SE ÄVEN

unshare (1), clone (2), setns (2), unshare (2), proc (5), cgroups (7), credentials (7), namespaces (7), user_namespaces (7)

ÖVERSÄTTNING

Den svenska översättningen av denna manualsida skapades av Göran Uddeborg <goeran@uddeborg.se>

Denna översättning är fri dokumentation; läs GNU General Public License Version 3 eller senare för upphovsrättsvillkor. Vi tar INGET ANSVAR.

Om du hittar fel i översättningen av denna manualsida, skicka ett mail till Tp-sv@listor.tp-sv.se .

---