systemd로 사용자 cgroup을 만드는 방법

lxc에서 권한이없는 컨테이너를 사용 Arch Linux합니다. 기본 시스템 정보는 다음과 같습니다.

[chb@conventiont ~]$ uname -a
Linux conventiont 3.17.4-Chb #1 SMP PREEMPT Fri Nov 28 12:39:54 UTC 2014 x86_64 GNU/Linux

다음과 같은 사용자 정의 / 컴파일 된 커널입니다 user namespace enabled.

[chb@conventiont ~]$ lxc-checkconfig 
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: enabled
Network namespace: enabled
Multiple /dev/pts instances: enabled

--- Control groups ---
Cgroup: enabled
Cgroup clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: enabled
Cgroup cpuset: enabled

--- Misc ---
Veth pair device: enabled
Macvlan: enabled
Vlan: enabled
File capabilities: enabled

Note : Before booting a new kernel, you can check its configuration
usage : CONFIG=/path/to/config /usr/bin/lxc-checkconfig

[chb@conventiont ~]$ systemctl --version
systemd 217
+PAM -AUDIT -SELINUX -IMA -APPARMOR +SMACK -SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS +KMOD +IDN 

불행히도 현재 systemd는 잘 재생되지 않습니다 lxc. 특히 cgroups루트가 아닌 사용자를 설정하면 제대로 작동하지 않는 것 같거나이 작업을 수행하는 방법이 너무 익숙하지 않습니다. lxc에서 필요한 cgroup을 만들 수있는 경우에만 권한이없는 모드로 컨테이너를 시작합니다 /sys/fs/cgroup/XXX/*. 그러나 에 cgroup 계층을 마운트 하기 lxc때문에 불가능 합니다 . 해결 방법은 다음을 수행하는 것 같습니다.systemdroot/sys/fs/cgroup/*

for d in /sys/fs/cgroup/*; do
        f=$(basename $d)
        echo "looking at $f"
        if [ "$f" = "cpuset" ]; then
                echo 1 | sudo tee -a $d/cgroup.clone_children;
        elif [ "$f" = "memory" ]; then
                echo 1 | sudo tee -a $d/memory.use_hierarchy;
        fi
        sudo mkdir -p $d/$USER
        sudo chown -R $USER $d/$USER
        echo $$ > $d/$USER/tasks
done

이 코드 는 권한이없는 사용자를 위해 해당 cgroup디렉토리를 cgroup계층 구조로 만듭니다 . 그러나 내가 이해하지 못하는 것이 발생합니다. 앞에서 언급 한 내용을 실행하기 전에 다음과 같이 표시됩니다.

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope

위에서 언급 한 코드를 실행 한 후에 쉘에서 보았습니다.

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/chb
7:net_cls:/chb
6:freezer:/chb
5:devices:/chb
4:memory:/chb
3:cpu,cpuacct:/chb
2:cpuset:/chb
1:name=systemd:/chb

그러나 다른 쉘에서는 여전히 볼 수 있습니다.

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope

따라서 lxc셸에서 권한이없는 컨테이너를 시작할 수 있지만 위에서 언급 한 코드는 실행했지만 다른 코드는 실행할 수 없습니다.

1. 누군가이 행동을 설명 할 수 있습니까?

2. 누군가 cgroups현재 버전 systemd( >= 217)으로 필요한 것을 설정하는 더 좋은 방법을 찾았 습니까?

더 안전하고 안전한 솔루션은 ( 기반 배포판에서) 설치 cgmanager하고 실행하는 것입니다 . 사용자는 다음과 같은 권한을 가진 모든 컨트롤러에서 권한이없는 사용자를 위해 호스트에 대한 권한 이 있거나 호스트에 대한 권한을 가질 수 있습니다 .systemctl start cgmanagersystemdrootsudocgroups

sudo cgm create all $USER
sudo cgm chown all $USER $(id -u $USER) $(id -g $USER)

권한이없는 사용자를 위해 작성되면 다음을 cgroup사용하여 액세스 권한이있는 프로세스 를 모든 컨트롤러에 대해 자신의 프로세스로 이동할 수 있습니다 .

cgm movepid all $USER $PPID

내가 게시 한 쉘 스크립트보다 안전하고 빠르며 안정적입니다.

수동 솔루션 :

대답하려면 1.

for d in /sys/fs/cgroup/*; do
        f=$(basename $d)
        echo "looking at $f"
        if [ "$f" = "cpuset" ]; then
                echo 1 | sudo tee -a $d/cgroup.clone_children;
        elif [ "$f" = "memory" ]; then
                echo 1 | sudo tee -a $d/memory.use_hierarchy;
        fi
        sudo mkdir -p $d/$USER
        sudo chown -R $USER $d/$USER
        echo $$ > $d/$USER/tasks
done

나는 그 스크립트를 썼을 때 정확히 무슨 일이 있었는지 알지 못했지만 이것을 읽고 조금 실험 해보면 무슨 일이 일어나고 있는지 이해하는 데 도움이되었습니다. 이 스크립트에서 기본적으로하는 cgroup것은 현재 user위에서 이미 언급 한 현재에 대한 새 세션 을 만드는 것입니다. 나는 현재에이 명령을 실행하면 shell그것이 현재 평가됩니다 너무 그것을 또는 스크립트를 실행하게 shell아니라에서 subshell(통해 . script(가) .작업이 중요하다!) 난 그냥에 대한 새로운 세션을 열 수없는 것입니다 user그러나 현재 쉘을이 새로운 cgroup에서 실행되는 프로세스로 추가하십시오. 나는 서브 쉘에서 스크립트를 실행하여 동일한 효과를 달성하고로 내려 다음 수 cgroup에서 계층 구조 chb subcgroup및 사용echo $$ > tasks의 모든 멤버에 현재 쉘을 추가합니다 chb cgroup hierarchy.

내가 실행할 때 따라서, lxc전류 쉘 내 용기는 또한 모든 회원이 될 것이다 chb subcgroup전류가 있음을의 shell의 구성원입니다. 즉 , 내 상태는 내 상태를 container상속받습니다 . 이것은 또한 현재 의 일부가 아닌 다른 쉘에서 작동하지 않는 이유를 설명합니다 .cgroupshellchb subcgroup

나는 아직도 통과 2.합니다. 일관된 동작 을 채택 하기 위해 systemd업데이트 또는 추가 Kernel개발 을 기다려야 할 수도 systemd있지만 어쨌든 수동 설정은 사용자가 수행중인 작업을 이해하도록 강제하기 때문에 선호합니다.

실제로 archlinux에서는 권한이없는 사용자 (unpriv.lxc 컨테이너를 사용할 때 권장)와 같이 작동하지 않습니다. 즉, 그 사용자에게는 sudo가 없습니다 :)

대신 /etc/cgconfig.conf에 그룹을 정의하고 cgconfig, cgrules (AUR의 libcgroup)를 활성화하고 cgrules도 추가하십시오. unpriv. 사용자는 동일한 권한을 갖습니다.

systemd 218에서 (나는 언제 모르겠지만 cgconfig 방식으로 만들 때 설정되지 않았기 때문에 두 가지 조건을 더 추가 해야하는 것처럼 보입니다) :

cat /etc/cgconfig.conf

group lxcadmin {
perm {
    task {
        uid = lxcadmin;
        gid = lxcadmin;
    }
    admin {
        uid = lxcadmin;
        gid = lxcadmin;
    }
}
cpu { }
memory { memory.use_hierarchy = 1; }  
blkio { }
cpuacct { }
cpuset { 
    cgroup.clone_children = 1;
    cpuset.mems = 0;
    cpuset.cpus = 0-3; 
}
devices { }
freezer { }
hugetlb { }
net_cls { }
}

cat /etc/cgrules.conf
lxcadmin        *       lxcadmin/

네임 스페이스가 커널에서 컴파일되었다고 가정합니다.

이것은 템플릿이며 cpus는 코어 수에 따라 달라질 수 있으며 mem은 실제 값 등으로 설정할 수 있습니다.

편집 2 : 마지막으로 systemd에서 권한이없는 사용자와 자동 시작을 사용하려면 다음을 수행하십시오.

cp /usr/lib/systemd/system/lxc{,admin}\@.service를 추가 한 다음 User = lxcadmin을 추가하십시오.

lolz systemctl enable lxcadmin @ lolz라는 lxcadmin의 컨테이너에 대해 활성화하십시오.

따라서 CentOS 7에서 LXC 권한이없는 컨테이너를 가져 오려고 할 때도 동일한 문제가 발생했습니다 cgmanager. 절대적으로 필요하지 않은 경우 추가 서비스를 도입하는 것을 좋아하지 않기 때문에 사용하고 싶지 않았습니다. 내가 대신 한 것은 우분투 패키지의 일부 패치와 하나의 사용자 정의 패치를 사용하여 cgroup 컨트롤러 목록을 확장하여 패치 된 시스템입니다. https://github.com/CtrlC-Root/rpmdist의 GitHub 계정에서 RPM을 빌드하는 데 필요한 소스가 있습니다 . 또한 패치 된 버전의 shadow-utils (subuids 및 subgids) 및 pam (loginuid)이 있습니다. 이러한 RPM을 설치하고 권한이없는 컨테이너 (subuids 및 subgids 할당, lxc-usernet에 veth 쌍 할당, .config / lxc / default.conf 생성 등)를 실행하도록 사용자를 구성한 후 LXC 권한이없는 컨테이너를 제대로 실행할 수 있습니다.

편집 : cgmanager를 사용하고 싶지 않은 또 다른 이유는 일반 사용자가 sudo를 전혀 사용하지 않기를 원했기 때문입니다. 일반 사용자는 로그인 할 수 있어야하며 모든 것이 즉시 작동합니다.