linux:kernel:namespace:pid_namespaces

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
linux:kernel:namespace:pid_namespaces [2013/08/06 07:25] tenforwardlinux:kernel:namespace:pid_namespaces [2013/08/07 12:06] (現在) – [/proc/PID と PID 名前空間] tenforward
行 51: 行 51:
 pidns_init_sleep の出力の最後の行の説明のため,childFunc() 関数の実装の議論の時にスキップした部分のコードに戻る必要がある. pidns_init_sleep の出力の最後の行の説明のため,childFunc() 関数の実装の議論の時にスキップした部分のコードに戻る必要がある.
  
 +===== /proc/PID と PID 名前空間 =====
 +
 +Linux システムのプロセスはそれぞれ /proc/PID ディレクトリを持っている.ここにはプロセスに関係する様々な情報を含む擬似ファイルを含む.この配置は直接 PID 名前空間のモデルに置き換えることができる.PID 名前空間の中では,/proc/PID ディレクトリは PID 名前空間内と子孫に含まれるプロセスの情報のみを表示する.
 +
 +しかし,目に見える PID 名前空間に一致する /proc/PID ディレクトリを作成するために,proc ファイルシステム (短縮して "procfs") を PID 名前空間内からマウントする必要がある.PID 名前空間内で実行中のシェルから (おそらく system() ライブラリ関数で起動した),以下のような形で mount コマンドを使用してこれを実行する事が可能である.
 +
 +<code>
 +    # mount -t proc proc /mount_point
 +</code>
 +
 +もうひとつの方法として,procfs は mount() システムコールを使ってマウントすることも可能である.プログラムの childFunc() 関数内から以下のようにして.
 +
 +<code c>
 +    mkdir(mount_point, 0555);       /* Create directory for mount point */
 +    mount("proc", mount_point, "proc", 0, NULL);
 +    printf("Mounting procfs at %s\n", mount_point);
 +</code>
 +
 +mount_point 変数は pidns_init_sleep 起動時のコマンドライン引数で与えられる文字列で初期化される.
 +
 +前の pidns_init_sleep を実行したサンプルのシェルセッションでは,新しい procfs として /proc2 をマウントした.現実の利用では,説明したどちらかのテクニックを使って,procfs は (必要であれば) 通常は普通の場所にマウントされるだろう.しかし,我々のデモの間 /proc2 に procfs をマウントすることは,システムの他のプロセスに問題が生じるのを防ぐ簡単な方法を提供してくれる.つまり,これらのプログラムは我々のテストプログラムと同じ名前空間にあるので,/proc にマウントされるファイルシステムを変更することは,目に見えない root PID 名前空間に /proc/PID ディレクトリを作成するシステムの他のプログラムに混乱を与えるだろう.
 +
 +それゆえ,我々のシェルセッション内で /proc にマウントされた procfs は,親の PID 名前空間から見えるプロセスに対する PID サブディレクトリを示し,一方で /proc にマウントされた procfs は,子供の PID 名前空間に存在するプロセスに対する PID サブディレクトリを示す.ちなみに,子供の PID 名前空間内のプロセスが /proc マウントポイントで見える PID ディレクトリで見えるにも関わらず,これらの PID は子供の PID 名前空間内のプロセスに対しては意味がないという事は重要な事である.これらの子プロセスから呼ばれたシステムコールは,それらが属する PID 名前空間のコンテキスト内の PID として解釈されるからである.
 +
 +もし ps のような様々なツールが,子供の PID 名前空間内でも正しく動くことを期待するのであれば,伝統的な /proc マウントポイントにマウントされた procfs を持つことは必要なことである.なぜならこれらのツールは /proc で見つかる情報に依存しているからである.親の PID 名前空間が使う /proc マウントポイントに影響を与えずにこれを達成する方法は 2 つある.1 つ目は,もし子プロセスが CLONE_NEWNS フラグを使って作られているのであれば,子供はシステムの他とは異なるマウント名前空間にいる事になる.この場合,新しい procfs を /proc にマウントしても,問題を引き起こすことはない.他の方法として,CLONE_NEWNS フラグを使う代わりに,子供は chroot() を使って root ディレクトリを変更し,/proc に procfs をマウントするのである.
 +
 +pidns_init_sleep を実行しているシェルセッションに戻ろう.プログラムを停止させ,親の名前空間のコンテキスト内で親子のプロセスの詳細をいくつか観察するために ps コマンドを使おう.
 +
 +<code>
 +    ^Z                          Stop the program, placing in background
 +    [1]+  Stopped                 ./pidns_init_sleep /proc2
 +    # ps -C sleep -C pidns_init_sleep -o "pid ppid stat cmd"
 +      PID  PPID STAT CMD
 +    27655 27090 T    ./pidns_init_sleep /proc2
 +    27656 27655 S    sleep 600
 +</code>
 +
 +最後の行の "PPID" の値 (27655) は,sleep を実行しているプロセスの親が pidns_init_sleep を実行しているプロセスであることを示している.
 +
 +readlink コマンドを使って,/proc/PID/ns/pid シンボリックリンク (先の記事で説明済み) の (異なる) 表示を表示させ,2 つのプロセスが異なる PID 名前空間にいることを見ることができる.
 +
 +<code>
 +    # readlink /proc/27655/ns/pid
 +    pid:[4026531836]
 +    # readlink /proc/27656/ns/pid
 +    pid:[4026532412]
 +</code>
 +
 +この時点で,新しい PID 名前空間内のプロセスに関する情報を得るのに,新しくマウントした procfs を使うこともできる.まず,以下のようなコマンドで名前空間内の PID のリストを取得できる.
 +
 +<code>
 +    # ls -d /proc2/[1-9]*
 +    /proc2/1
 +</code>
 +
 +以上のように,PID 名前空間はひとつのプロセスだけを含んでおり,その名前空間での PID は 1 である.また,/proc/PID/status ファイルを使った別の方法で,前のシェルセッションで見たプロセスに関する情報と同じものを取得可能である.
 +
 +<code>
 +    # cat /proc2/1/status | egrep '^(Name|PP*id)'
 +    Name:   sleep
 +    Pid:    1
 +    PPid:   0
 +</code>
 +
 +ファイルの PPid フィールドは 0 であり,子供に対する親プロセスの ID が 0 であると報告した getppid() の結果と一致する.
 +
 +===== ネストした PID 名前空間 =====
 +
 +先に述べたように,PID 名前空間は親子関係で階層構造的にネストする.PID 名前空間内では,同じ名前空間内の他の全てのプロセスを見ることができるだけでなく,子孫の名前空間のメンバーの全てのプロセスも見る ("see") ことができる.ここで「見る」("see") とは PID を指定して操作するシステムコールを利用できることを意味する(例えばプロセスにシグナルを送る kill() の利用など).子供の PID 名前空間内のプロセスは親の PID 名前空間内 (や消去された祖先の名前空間) に存在するプロセスを見ることはできない.
 +
 +プロセスは,属している PID 名前空間から始まり,root PID 名前空間までに属する PID 名前空間の階層構造のぞれぞれのレイヤーごとに 1 つ PID を持つだろう.getpid() を呼ぶと,プロセスが属する名前空間に紐付いた PID が常に返ってくる.
 +
 +プロセスが,そのプロセスが見える名前空間内のそれぞれで異なる PID を持っていることを示すために [[http://lwn.net/Articles/532745/|ここ]] のプログラムを見てみよう.簡潔な記述のために,ここではコードを通して見るよりは,プログラムがやっていることを簡単に説明しよう.
 +
 +プログラムはネストされた PID 名前空間内で一連の子プロセスを再帰的に作成する.プログラムを起動する際に,何個の子供と PID 名前空間を作るのかをコマンドライン引数で指定する.
 +
 +<code>
 +    # ./multi_pidns 5
 +</code>
 +
 +新しい子プロセスを作るのに加えて,それぞれの再帰ステップはユニークに名前が付けられたマウントポイントに procfs をマウントする.再帰の最後に,最後の子供が sleep を実行する.先のコマンドラインは以下のような出力が出る.
 +
 +<code>
 +    ^Z                           Stop the program, placing in background
 +    [1]+  Stopped            ./multi_pidns 5
 +    # ls -d /proc4/[1-9]*        Topmost PID namespace created by program
 +    /proc4/ /proc4/ /proc4/ /proc4/ /proc4/5
 +    # ls -d /proc3/[1-9]*
 +    /proc3/ /proc3/ /proc3/ /proc3/4
 +    # ls -d /proc2/[1-9]*
 +    /proc2/ /proc2/ /proc2/3
 +    # ls -d /proc1/[1-9]*
 +    /proc1/ /proc1/2
 +    # ls -d /proc0/[1-9]*        Bottommost PID namespace
 +    /proc0/1
 +</code>
 +
 +全てを見ることができる名前空間内で,再帰の末尾 (例えば最も深くネストした名前空間内で sleep を実行しているプロセス) でプロセスの PID を見るには grep コマンドが適切だろう.
 +
 +<code>
 +    # grep -H 'Name:.*sleep' /proc?/[1-9]*/status
 +    /proc0/1/status:Name:       sleep
 +    /proc1/2/status:Name:       sleep
 +    /proc2/3/status:Name:       sleep
 +    /proc3/4/status:Name:       sleep
 +    /proc4/5/status:Name:       sleep
 +</code>
 +
 +言い換えると,最も深くネストした PID 名前空間 (/proc0) 内では,sleep を実行しているプロセスは PID 1 を持つ.そして,最も浅い PID 名前空間で作られた名前空間 ((/proc4) では,プロセスは PID 5 を持つ.
 +
 +もしこの記事で紹介したプログラムを実行した場合,プログラムはマウントポイントとマウントディレクトリをそのままにしていることに注意すること.プログラムが終了した後,以下のようなシェルコマンドが片付けをするのに十分である.
 +
 +<code>
 +    # umount /proc?
 +    # rmdir /proc?
 +</code>
 +
 +===== 最後に =====
 +
 +この記事では,PID 名前空間についてかなり詳しく見た.次の記事では,PID 名前空間での init プロセスについての議論と説明を記載すると共に,PID 名前空間 API の他の詳細についても少し触れる.
  • linux/kernel/namespace/pid_namespaces.1375773959.txt.gz
  • 最終更新: 2013/08/06 07:25
  • by tenforward