linux - cgroups 分離 (グループプロセスの分離)

Question

特に分離を考慮して、cgroups について質問があります。

ウィキペディアには、cgroup を使用してグループを分離できるため、「グループごとに個別の名前空間が存在するため、互いのプロセス、ネットワーク接続、またはファイルが表示されない」と記載されています。

グループ間でメモリまたは CPU を共有または分割する方法は既に知っていますが、たとえば、グループまたはユーザーが自分のプロセスのみを表示できる方法 (cgrules.conf および cgconfig.conf にある必要があるもの) を知りたいです。

例：

指定されたグループのユーザーがコンソールに ps (または ps -aux) を入力すると、他のユーザー/グループのプロセスではなく、そのユーザーのプロセスのみが一覧表示されます (ps -u のように)。このようなことを達成するために、手早く汚いプログラミング手法を実行できることは知っていますが、それが cgroup でどのように機能するかを知りたいです。

あなたの専門知識をどうもありがとうございました!

Answer 1

Cgroupには、完全な名前空間の分離を提供する機能は実際にはありません。探しているのはLinuxContainers（LXC）-http://lxc.sourceforge.net/です。LXCはリソース管理にcgroupsを使用し、プロセスをコンテナー化してホストシステムから分離できるようにします。LibvirtはLXCドライバーも提供します。これにより、コンテナーのセットアップが簡単になり、コンテナー内で完全なオペレーティングシステムを実行することもできます。

その他の情報源：

• http://fedoraproject.org/wiki/Features/Securecontainers
• http://nigel.mcnie.name/blog/a-five-minute-guide-to-linux-containers-for-debian
• http://libvirt.org/drvlxc.html
• https://www.berrange.com/posts/2011/09/27/getting-started-with-lxc-using-libvirt/