cgroups isolation (그룹 프로세스 분리)

Question

격리와 관련하여 특히 cgroup과 관련된 질문이 있습니다.

위키 피 디아에서는 cgroup을 사용하여 그룹을 분리하여 "그룹에 대한 별도의 네임 스페이스가 있으므로 서로의 프로세스, 네트워크 연결 또는 파일을 볼 수 없습니다"라고 설명합니다.

그룹간에 메모리 또는 CPU를 공유하거나 나누는 방법을 이미 알고 있지만 그룹이나 사용자가 자신의 프로세스 만 볼 수있는 방법 (cgrules.conf와 cgconfig에 있어야 할 것)을 알고 싶습니다. conf).

예 :

특정 그룹의 사용자가 자신의 콘솔에서 PS (또는 추신 -aux)에 입사

만 그 프로세스가없는 다른 사용자/그룹의 나열한다 (추신 -u 같이). 나는이 일을 성취하기 위해 빠르고 더러운 프로그래밍을 할 수 있다고 알고 있지만 cgroup과 어떻게 작동하는지 알고 싶습니다.

감사합니다.

Answer 1

Cgroup에는 실제 이름 공간 격리를 제공 할 수있는 기능이 없습니다. 당신이 찾고있는 것은 리눅스 컨테이너 (LXC)입니다 - http://lxc.sourceforge.net/. LXC는 리소스 관리에 cgroup을 사용하고 프로세스를 컨테이너 화하고 호스트 시스템에서 프로세스를 격리 할 수 ​​있습니다. 또한 Libvirt는 컨테이너를 쉽게 설정하고 컨테이너에서 전체 운영 체제를 실행하는 LXC 드라이버를 제공합니다.

더 많은 소스 :

• http://fedoraproject.org/wiki/Features/Securecontainers
• http://nigel.mcnie.name/blog/a-five-minute-guide-to-linux-containers-for-debian
• http://libvirt.org/drvlxc.html
• https://www.berrange.com/posts/2011/09/27/getting-started-with-lxc-using-libvirt/

Answer 2

LXC는 아이솔레이션하지만 cgroup을 제공하는 좋은 답변이지만 심지어 캐시에이 기능이 있습니다 레벨 (프로세서 보조기 그것). Mesos와 같은 많은 클러스터 관리자/자원 관리자가 이러한 기능을 사용하고 있습니다. cgset을 사용하면 IO, CPU 및 메모리에 대한 제한을 cgroup에 설정할 수 있습니다. here에서 일부 문서를 찾을 수 있습니다.