Man page - cgroup_namespaces(7)
Packages contas this manual
- pts(4)
- initrd(4)
- bootparam(7)
- proc_driver(5)
- udp(7)
- proc_pid_numa_maps(5)
- standards(7)
- epoll(7)
- proc(5)
- proc_net(5)
- urandom(4)
- proc_pid_fdinfo(5)
- mailaddr(7)
- iso-8859-5(7)
- iso_8859-6(7)
- iconv(1)
- full(4)
- user-keyring(7)
- intro(5)
- ftm(7)
- shm_overview(7)
- feature_test_macros(7)
- proc_crypto(5)
- tzfile(5)
- aio(7)
- boot(7)
- proc_profile(5)
- proc_cgroups(5)
- cpuset(7)
- proc_pid_coredump_filter(5)
- proc_pid_cwd(5)
- proc_uptime(5)
- st(4)
- precedence(7)
- ddp(7)
- proc_zoneinfo(5)
- iso_8859_3(7)
- proc_pid_root(5)
- latin4(7)
- proc_tid_children(5)
- proc_pid_oom_adj(5)
- proc_mounts(5)
- iso_8859-14(7)
- ld-linux(8)
- capabilities(7)
- ptmx(4)
- mouse(4)
- sysfs(5)
- rtld-audit(7)
- proc_partitions(5)
- iso_8859_6(7)
- queue(7)
- proc_pid_pagemap(5)
- proc_pid_stack(5)
- proc_pid_mem(5)
- uri(7)
- ttytype(5)
- namespaces(7)
- proc_sys_user(5)
- latin5(7)
- procfs(5)
- charmap(5)
- proc_sys_kernel(5)
- getent(1)
- ip(7)
- iso_8859-5(7)
- queue(3)
- proc_sys_vm(5)
- random(7)
- iso-8859-10(7)
- process-keyring(7)
- protocols(5)
- system_data_types(7)
- operator(7)
- proc_pid_timerslack_ns(5)
- wtmp(5)
- iso_8859_15(7)
- cp1252(7)
- iso_8859_11(7)
- pkeys(7)
- kmem(4)
- proc_pid_clear_refs(5)
- proc_meminfo(5)
- latin8(7)
- zdump(8)
- fuse(4)
- utf-8(7)
- proc_kpagecount(5)
- futex(7)
- complex(7)
- iso_8859-13(7)
- proc_kcore(5)
- iso_8859-8(7)
- iso_8859_14(7)
- iconvconfig(8)
- network_namespaces(7)
- thread-keyring(7)
- locale(5)
- proc_pid_oom_score_adj(5)
- proc_pid_statm(5)
- signal-safety(7)
- units(7)
- re_format(7)
- proc_pid_comm(5)
- latin1(7)
- glibc(7)
- environ(7)
- iso_8859-9(7)
- tty(4)
- proc_pid_projid_map(5)
- urn(7)
- iso_8859_8(7)
- proc_loadavg(5)
- ipc_namespaces(7)
- proc_pid_syscall(5)
- proc_pid_cgroup(5)
- proc_pid_mountstats(5)
- proc_kpageflags(5)
- utmpx(5)
- termio(7)
- iso-8859-13(7)
- suffixes(7)
- iso_8859-16(7)
- intro(1)
- hostname(7)
- proc_pid_status(5)
- proc_pid_fd(5)
- proc_malloc(5)
- proc_sys_debug(5)
- proc_pid_mounts(5)
- console_codes(4)
- iso_8859_2(7)
- iso-8859-16(7)
- proc_thread-self(5)
- socket(7)
- sock_diag(7)
- null(4)
- raw(7)
- memusagestat(1)
- proc_pid_mountinfo(5)
- proc_sys_sunrpc(5)
- iso-8859-1(7)
- motd(5)
- iso_8859-7(7)
- utmp(5)
- proc_pid_auxv(5)
- latin2(7)
- intro(2)
- proc_modules(5)
- user_namespaces(7)
- iso-8859-2(7)
- proc_version(5)
- ldd(1)
- iso_8859-3(7)
- proc_diskstats(5)
- session-keyring(7)
- ascii(7)
- hosts.equiv(5)
- group(5)
- intro(4)
- proc_cmdline(5)
- resolver(5)
- time(7)
- packet(7)
- proc_kpagecgroup(5)
- hosts(5)
- proc_pid_maps(5)
- proc_tty(5)
- inotify(7)
- msr(4)
- tzselect(8)
- proc_locks(5)
- hpsa(4)
- mount_namespaces(7)
- cgroups(7)
- fanotify(7)
- latin7(7)
- intro(6)
- proc_slabinfo(5)
- proc_timer_list(5)
- proc_kallsyms(5)
- mq_overview(7)
- proc_buddyinfo(5)
- iso_8859-15(7)
- proc_pid_wchan(5)
- iso-8859-8(7)
- proc_stat(5)
- attributes(7)
- proc_bus(5)
- sln(8)
- iso_8859_4(7)
- cgroup_namespaces(7)
- symlink(7)
- fifo(7)
- proc_keys(5)
- locale(1)
- proc_devices(5)
- inode(7)
- iso_8859_13(7)
- nptl(7)
- svipc(7)
- proc_sys_proc(5)
- xattr(7)
- proc_key-users(5)
- iso_8859_10(7)
- erofs(5)
- sd(4)
- proc_ide(5)
- proc_dma(5)
- proc_pid_environ(5)
- utf8(7)
- proc_pid_seccomp(5)
- tcp(7)
- localedef(1)
- path_resolution(7)
- proc_kmsg(5)
- regex(7)
- unix(7)
- netdevice(7)
- host.conf(5)
- nss(5)
- proc_pid_io(5)
- issue(5)
- iso_8859-10(7)
- pipe(7)
- nologin(5)
- vcs(4)
- proc_mtrr(5)
- networks(5)
- resolv.conf(5)
- pldd(1)
- koi8-r(7)
- arp(7)
- ld.so(8)
- wavelan(4)
- proc_pid_uid_map(5)
- zero(4)
- iso-8859-7(7)
- memusage(1)
- iso-8859-6(7)
- latin6(7)
- user-session-keyring(7)
- armscii-8(7)
- shells(5)
- cp1251(7)
- rtnetlink(7)
- koi8-u(7)
- address_families(7)
- cpuid(4)
- core(5)
- pty(7)
- tis-620(7)
- iso_8859-1(7)
- math_error(7)
- iso_8859-4(7)
- proc_pid_autogroup(5)
- man(7)
- cciss(4)
- icmp(7)
- sprof(1)
- glob(7)
- iso-8859-9(7)
- proc_sys_dev(5)
- url(7)
- zic(8)
- sched(7)
- services(5)
- proc_pid(5)
- securetty(5)
- acct(5)
- loop(4)
- vcsa(4)
- iso_8859-2(7)
- proc_vmstat(5)
- pthreads(7)
- proc_timer_stats(5)
- uts_namespaces(7)
- elf(5)
- libc(7)
- proc_sysrq-trigger(5)
- credentials(7)
- proc_sys_net(5)
- numa(7)
- bpf-helpers(7)
- netlink(7)
- proc_pid_personality(5)
- iso_8859-11(7)
- mem(4)
- proc_apm(5)
- proc_pid_task(5)
- proc_cpuinfo(5)
- iso_8859_7(7)
- random(4)
- proc_sys_fs(5)
- proc_pid_ns(5)
- proc_filesystems(5)
- slabinfo(5)
- proc_sys_abi(5)
- latin9(7)
- proc_pid_stat(5)
- proc_execdomains(5)
- proc_swaps(5)
- keyrings(7)
- proc_ioports(5)
- iso_8859_1(7)
- hd(4)
- proc_self(5)
- landlock(7)
- proc_interrupts(5)
- port(4)
- proc_pid_cpuset(5)
- vdso(7)
- iso_8859_5(7)
- intro(7)
- mtrace(1)
- latin3(7)
- proc_sys(5)
- repertoiremap(5)
- lirc(4)
- filesystems(5)
- proc_ksyms(5)
- unicode(7)
- iso_8859_9(7)
- man-pages(7)
- pid_namespaces(7)
- proc_pid_attr(5)
- proc_sysvipc(5)
- intro(3)
- spufs(7)
- proc_config.gz(5)
- sem_overview(7)
- ldconfig(8)
- loop-control(4)
- iso-8859-4(7)
- proc_pid_timers(5)
- smartpqi(4)
- posixoptions(7)
- nsswitch.conf(5)
- proc_pid_map_files(5)
- time_namespaces(7)
- string_copying(7)
- iso-8859-11(7)
- proc_pid_gid_map(5)
- latin10(7)
- proc_pid_setgroups(5)
- ld-linux.so(8)
- ram(4)
- iso-8859-3(7)
- intro(8)
- proc_fb(5)
- vsock(7)
- termcap(5)
- fs(5)
- proc_iomem(5)
- iso-8859-15(7)
- signal(7)
- persistent-keyring(7)
- rtc(4)
- dsp56k(4)
- proc_pid_net(5)
- rpc(5)
- lp(4)
- veth(4)
- hier(7)
- kernel_lockdown(7)
- iso-8859-14(7)
- dir_colors(5)
- proc_scsi(5)
- proc_pid_cmdline(5)
- proc_fs(5)
- x25(7)
- proc_tid(5)
- proc_pid_smaps(5)
- proc_pid_limits(5)
- proc_pid_oom_score(5)
- locale(7)
- proc_pci(5)
- charsets(7)
- iso_8859_16(7)
- ipv6(7)
- tmpfs(5)
- proc_pid_exe(5)
- sysvipc(7)
- udplite(7)
- gai.conf(5)
apt-get install manpages
Available languages:
en fr sv ro deManual
| cgroup_namespaces(7) | Miscellaneous Information Manual | cgroup_namespaces(7) |
NAMN
cgroup_namespaces — översikt över Linux cgroup-namnrymder
BESKRIVNING
För en översikt över namnrymder, se namespaces(7).
Cgroup-namnrymder virtualiserar vyn av en process cgroup:er (se cgroups(7)) som de syns via /proc/pid/cgroup och /proc/pid/mountinfo.
Varje cgroup-namnrymd har sin egen uppsättning av cgroup-rotkataloger. Dessa rotkataloger är baspunkterna för de relativa platserna som visas i motsvarande poster i filen /proc/pid/cgroup. När en process skapar en ny cgroup-namnrymd med clone(2) eller unshare(2) med flaggan CLONE_NEWCGROUP blir dess aktuella cgroup-kataloger cgroup-rotkataloger i den nya namnrymden. (Detta gäller både för cgroup version 1-hierarkierna och den unifierade hierarkin i cgroup version 2.)
När man läser cgroup-medlemskapen för en ”mål”-process från /proc/pid/cgroup kommer sökvägsnamnet som visas i det tredje fältet av varje post att vara relativt den läsande processens rotkatalog för motsvarande cgroup-hierarki. Om cgroup-katalogen för målprocessen ligger utanför rotkatalogen för den läsande processens cgroup-namnrymd kommer sökvägsnamnet visa ../-poster för varje anfadernivå i cgroup-hierarkin.
Följande skalsession demonstrerar effekten av att skapa en ny cgroup-namnrymd.
Först (som rot) i ett skal i den initiala cgroup-namnrymden skapar vi en barn-cgroup i hierarkin freezer, och lägger in en process i denna cgroup som vi kommer använda som en del av vår demonstration nedan:
# mkdir -p /sys/fs/cgroup/freezer/sub2 # sleep 10000 & # Skapa en process som lever ett tag [1] 20124 # echo 20124 > /sys/fs/cgroup/freezer/sub2/cgroup.procs
Sedan skapar vi en annan barn-cgroup i hierarkin freezer och lägger in skalet i denna cgroup:
# mkdir -p /sys/fs/cgroup/freezer/sub # echo $$ # Visa detta skals PID 30655 # echo 30655 > /sys/fs/cgroup/freezer/sub/cgroup.procs # cat /proc/self/cgroup | grep freezer 7:freezer:/sub
Därefter använder vi unshare(1) för att skapa en process som kör ett nytt skal i nya cgroup- och monteringsnamnrymder:
# PS1="sh2# " unshare -Cm bash
Från det nya skalet som startades av unshare(1) inspekterar vi sedan filerna /proc/pid/cgroup för det nya skalet, en process som finns i den initiala cgroup-namnrymden (init, med PID 1) respektive processen i syskon-cgroup:en (sub2):
sh2# cat /proc/self/cgroup | grep freezer 7:freezer:/ sh2# cat /proc/1/cgroup | grep freezer 7:freezer:/.. sh2# cat /proc/20124/cgroup | grep freezer 7:freezer:/../sub2
Från utdata från det första kommandot ser vi att medlemskapet i cgroup:en freezer för det nya skalet (vilket finns i samma cgroup som det initiala skalet) visas definierat relativt rotkatalogen för cgroup:en freezer som etablerades när den nya cgroup-namnrymden skapades. (I absoluta termer, det nya skalet finns i freezer-cgroup:en /sub, och rotkataloger i freezer-cgroup-hierarkin i den nya cgroup-namnrymden är också /sub. Alltså, det nya skalets cgroup-medlemskap visas som '/'.)
Dock, när vi tittar i /proc/self/mountinfo ser vi följande anomali:
sh2# cat /proc/self/mountinfo | grep freezer 155 145 0:32 /.. /sys/fs/cgroup/freezer …
Det fjärde fältet på denna rad (/..) skulle visa katalogen i cgroup-filsystemet som utgör roten för denna montering. Eftersom enligt definitionen av cgroup-namnrymder processens aktuella cgroup-katalog för freezer blev dess rot-freezer-cgroup-katalog borde vi se '/' i detta fält. Problemet här är att vi ser en monteringspost för cgroup-filsystemet som motsvarar den initiala cgroup-namnrymden (vars cgroup-filsystem verkligen är rotat i föräldrakatalogen till sub). För att lösa detta problem måste vi montera om freezer-cgroup-filsystemet från det nya skalet (d.v.s., utföra monteringen från en process som finns i den nya cgroup-namnrymden), varefter vi ser det förväntade resultatet:
sh2# mount --make-rslave / # Propagera inte monteringshändelser
# till andra namnrymder sh2# umount /sys/fs/cgroup/freezer sh2# mount -t cgroup -o freezer freezer /sys/fs/cgroup/freezer sh2# cat /proc/self/mountinfo | grep freezer 155 145 0:32 / /sys/fs/cgroup/freezer rw,relatime …
STANDARDER
Linux.
NOTERINGAR
Användning av cgroup-namnrymder kräver en kärna som är konfigurerad med alternativet CONFIG_CGROUPS.
Virtualiseringen som erbjuds av cgroup-namnrymder tjänar ett antal syften:
- •
- Det förhindrar att information läcker genom att en cgroup-katalogsökväg utanför en behållare annars skulle vara synlig för processer i behållaren. Sådant läckage skulle, till exempel, kunna avslöja information om behållarramverket för program i behållare.
- •
- Det förenklar uppgifter såsom migrering av behållare. Virtualiseringen som erbjuds av cgroup-namnrymder gör att behållare kan isoleras från kunskap om sökvägarna till anfader-cgroup:er. Utan sådan isolation skulle de fullständiga cgroup-sökvägarna (som visas i /proc/self/cgroups) behöva återskapas på målsystemet när en behållare migreras; dessa sökvägsnamn skulle också behöva vara unika, så att de inte skulle stå i konflikt med andra sökvägsnamn på målsystemet.
- •
- Det möjliggör bättre begränsning av processer i behållare, för att det är möjligt att montera behållarens cgroup-filsystem så att behållarprocessen inte kan få tillgång till kataloger för anfäders cgroup. Betänk, till exempel, följande scenario:
- •
- Vi har en cgroup-katalog, /cg/1, som ägs av användar-ID 9000.
- •
- Vi har en process, X, som också ägs av användar-ID 9000, som har namnrymden under cgroup /cg/1/2 (d.v.s., X placerades i en ny cgroup-namnrymd via clone(2) eller unshare(2) med flagga CLONE_NEWCGROUP.
- I avsaknad av cgroup-namnrymder skulle, eftersom cgroup-katalogen /cg/1 ägs (och är skrivbar) av AID 9000 och processen X också ägs av användar-ID 9000, process X kunna ändra innehållet i cgroup-filer (d.v.s., ändra cgroup-inställningar) inte bara i /cg/1/2 utan även i anfader-cgroup-katalogen /cg/1. Att namnrymda processen X under cgroup-katalogen /cg/1/2, i kombination med lämpliga monteringsoperationer av cgroup-filsystemet (som visas ovan), förhindrar den från att ändra filer i /cg/1, eftersom den inte ens kan se innehållet i den katalogen (eller i mer avlägsna cgroup-anfaderkataloger). Kombinerat med korrekt verkställighet av hierarkiska begränsningar förhindrar detta process X från att fly från begränsningarna som läggs på av anfader-cgroup:er.
SE ÄVEN
unshare(1), clone(2), setns(2), unshare(2), proc(5), cgroups(7), credentials(7), namespaces(7), user_namespaces(7)
ÖVERSÄTTNING
Den svenska översättningen av denna manualsida skapades av Göran Uddeborg <goeran@uddeborg.se>
Denna översättning är fri dokumentation; läs GNU General Public License Version 3 eller senare för upphovsrättsvillkor. Vi tar INGET ANSVAR.
Om du hittar fel i översättningen av denna manualsida, skicka ett mail till Tp-sv@listor.tp-sv.se.
| 2 maj 2024 | Linux man-pages 6.9.1 |