Namespace

Introdu¸c˜ao Implementa¸c˜ao
Namespace
Lu´ıs Eduardo
lets@cin.ufpe.br
Universidade Federal de Pernambuco
Agosto 2015

Summary I
1 Introdu¸c˜ao
2 Implementa¸c˜ao
Estrutura de dados
Clone Flags
System Calls

Introdu¸cão
a
Limita o escopo do Kernel a nomes e a estruturas de dados
utilizados gradualmente por processos para prover isola¸cão.
Observa¸cão
Existem 10 namespaces definidos (porém apenas 6 implementados)
Mount (mnt)
Process ID (pid)
Network (net)
Interprocess Call (ipc)
Unix Timesharing System (uts)
User (user)
security*
security key*
device*

Introdu¸c˜ao
Implementado para oferecer maneiras de isolar processos

Introdu¸c˜ao
Permite inserir checkpoint/restore (C/R), importante para
sistemas que s˜ao executados em ambientes HPC

Introdu¸c˜ao
Permite integrar live-migration

Introdu¸c˜ao
Permite integrar live-migration
Utilizado em projetos como containers (LXC, OpenVZ, etc),
CRIU.

Implementa¸cão
Mount namespaces foi o primeiro namespace a ser
implementado, em 2002 no kernel 2.4.19
User namespace foi o último namespace a ser implementado e
tornou-se dispon´ıvel junto com os outros tipos no kernel 3.8
Observa¸cão
Exceto o User namespace, todos precisam da capacidade
(capability) CAP SYS ADMIN

Summary
1 Introdu¸c˜ao
2 Implementa¸c˜ao
Estrutura de dados
Clone Flags
System Calls

Estrutura de dados
Implementa¸c˜ao da estrutura nsproxy no
include/linux/nsproxy.h

Estrutura de dados
a
Todas as estruturas de nsproxy possuem
um objeto user ns
User namespace é membro da estrutura
de credenciamento (cred)
cred representa o contexto de seguran¸ca
de um processo
O objeto nsproxy é criado através do
método create nsproxy()
nsproxy é liberado através do método
free nsproxy()
O descritor de processo (task struct)
possui um ponteiro para nsproxy

Clone Flags
O que são
Flags utilizadas para suportar a cria¸cão de namespaces (em
especial, utilizadas na system call clone()
São 6:
CLONE NEWNS: mount namespace
CLONE NEWUTS: unix timesharing system namespace
CLONE NEWIPC: inter-process call namespace
CLONE NEWPID: process id namespace
CLONE NEWNET: networking namespace
CLONE NEWUSER: user namespace
Implementado em: include/linux/sched.h
A system call clone() é utilizada para criar novos processos. Foi
adaptada para suportar novas flags, criando um processo e
adicionando a um namespace espec´ıfico.

System Calls
Foram adicionadas 2 system calls:
unshare()
setns()

unshare()
Defini¸cão
Responsável por criar um objeto nsproxy e adicioná-lo ao processo
que chamou o system call. Requer uma Clone Flag para identificar
qual namespace deverá ser criado.
Quando a CLONE NEWPID é passada, ele chama a system call
fork(), diferenciando seu comportamento tradicional.
Implementado em: kernel/fork.c

setns()
Defini¸cão
Responsável por adicionar um processo que chamou a system call
a um namespace existente.
Assinatura do método: setns(int fd, int nstype), onde:
fd (file descriptor): Um descritor que refere-se a um
namespace. Localizado no diretório:/proc/$PID/ns/
nstype (opcional): Especifica através de uma Clone Flag qual
deve ser o tipo do namespace.
Valor 0, fd pode assumir qualquer tipo.
Valor de nstype diferente do tipo de fd: Retorna -EINVAL
Implementado em: kernel/nsproxy.c

Namespace

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Namespace

Namespace