NAMESPACES(7) | Руководство программиста Linux | NAMESPACES(7) |
namespaces - обзор пространств имён Linux
Пространства имён облекают глобальный системный ресурс в абстрактную форму, в которой он представляется процессам внутри пространства имён таким образом, что процессы имеют свои собственные изолированные экземпляры глобального ресурса. Изменения глобального ресурса видимы другим процессам, которые являются членами пространства имён, и невидимы остальным процессам. Одно из применений пространств имён — реализация контейнеров.
В Linux предоставляются следующие пространства имён:
Пространство имён | Константа | Изоляция |
Cgroup | CLONE_NEWCGROUP | корневой каталог cgroup |
IPC | CLONE_NEWIPC | System V IPC, очереди сообщений POSIX |
Network | CLONE_NEWNET | сетевые устройства, стеки, порты … |
Mount | CLONE_NEWNS | точки монтирования |
PID | CLONE_NEWPID | идентификаторы процессов |
User | CLONE_NEWUSER | Идентификаторы пользователей и групп |
UTS | CLONE_NEWUTS | имя узла и доменное имя NIS |
В этой странице описаны различные пространства имён и связанные с ними файлы в /proc, а также кратко представлен программный интерфейс.
и различные файлы в /proc описаны далее. В API пространств имён имеются следующие системные вызовы:
Для создания новых пространств имён с помощью clone(2) и unshare(2), в большинстве случаев, требуется мандат CAP_SYS_ADMIN, так как в новом пространстве имён создатель будет обладать возможностью изменять глобальные ресурсы, которые видимы другим процессам, создаваемым или присоединяемым к пространству имён со временем. Исключение составляют пользовательские пространства имён: начиная с Linux 3.8 для создания пользовательского пространства имён особых прав не требуется.
Для каждого процесса в /proc/[pid]/ns/ есть подкаталог, в котором содержится по одной записи на каждое пространство имён, через которые ими можно управлять с помощью setns().
$ ls -l /proc/$$/ns total 0 lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 cgroup -> cgroup:[4026531835] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 ipc -> ipc:[4026531839] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 mnt -> mnt:[4026531840] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 net -> net:[4026531969] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 pid -> pid:[4026531836] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 pid_for_children -> pid:[4026531834] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 user -> user:[4026531837] lrwxrwxrwx. 1 mtk mtk 0 Apr 28 12:46 uts -> uts:[4026531838]
При привязке монтирования (bind mounting) (смотрите mount(2)) одного из файлов этого каталога в другое место в файловой системе данное пространство имён процесса с pid не удаляется, даже если все процессы в пространстве имён завершились.
При открытии одного из файлов этого каталога (или файла, который был привязан монтированием в один из этих файлов) возвращается файловый описатель соответствующего пространства имён процесса заданного pid. Пока этот файловый дескриптор остаётся открытым, пространство имён будет оставаться действующим, даже если все процессы в пространстве имён завершились. Файловый дескриптор может быть передан в setns(2).
В Linux 3.7 и старее эти файлы видимы как жёсткие ссылки. Начиная с Linux 3.8 они представляются символьными ссылками. Если два процесса находятся в одном пространстве имён, то значения идентификаторов устройств и номера инод их символьных ссылок /proc/[pid]/ns/xxx одинаковы; приложение может проверить это через поля stat.st_dev и stat.st_ino, возвращаемые stat(2). Содержимое этой символьной ссылки представляет собой строку с типом пространства имён и значением иноды:
$ readlink /proc/$$/ns/uts uts:[4026531838]
В этом подкаталоге содержатся символические ссылки:
Право разыменовывать или читать (readlink(2)) данные символические ссылки определяется проверкой режима доступа ptrace PTRACE_MODE_READ_FSCREDS; смотрите ptrace(2).
Файлы в каталоге /proc/sys/user (появился в Linux начиная с версии 4.9) отражают ограничения на количество пространств имён различных типов, которые могут быть созданы. Файлы:
Замечания к этим файлам:
Смотрите cgroup_namespaces(7).
Пространства имён IPC изолируют определённые ресурсы IPC, а именно IPC-объекты System V (смотрите svipc(7)) и (начиная с Linux 2.6.30) очереди сообщений POSIX (смотрите mq_overview(7)). Общая характеристика этих механизмов IPC в том, что объекты IPC распознаются механизмами не как пути файловой системы.
Каждое пространство имён IPC имеет свой набор идентификаторов System V IPC и свою файловую систему для очереди сообщений POSIX. Объекты, созданные в пространстве имён IPC, видимы всем другим процессам, которые являются членами этого пространства имён, и невидимы процессам из других пространств имён IPC.
Следующие интерфейсы /proc отличаются в каждом пространстве имён IPC:
При уничтожении пространства имён IPC (т. е., когда завершается последний процесс из этого пространства имён), все объекты IPC из пространства имён автоматически уничтожаются.
Для использования пространств имён IPC требуется, чтобы ядро было собрано с параметром CONFIG_IPC_NS.
Смотрите network_namespaces(7).
Смотрите mount_namespaces(7).
Смотрите pid_namespaces(7).
Смотрите user_namespaces(7).
Пространства имён UTS изолируют два системных идентификатора: имя узла и доменное имя NIS. Эти идентификаторы задаются с помощью sethostname(2) и setdomainname(2), и могут быть получены с помощью uname(2), gethostname(2) и getdomainname(2).
Для использования пространств имён UTS требуется, чтобы ядро было собрано с параметром CONFIG_UTS_NS.
При отсутствии других факторов, пространство имён автоматически удаляется, когда последний процесс в пространстве имён завершается или покидает его. Однако есть несколько факторов, которые могут задержать существование пространства имён даже при отсутствии процессов в нём. К таким факторам относятся следующие:
Смотрите clone(2) и user_namespaces(7).
nsenter(1), readlink(1), unshare(1), clone(2), ioctl_ns(2), setns(2), unshare(2), proc(5), capabilities(7), cgroup_namespaces(7), cgroups(7), credentials(7), network_namespaces(7), pid_namespaces(7), user_namespaces(7), lsns(8), pam_namespace(8), switch_root(8)
2019-03-06 | Linux |