मैं अनपेक्षित lxc
कंटेनरों का उपयोग करता हूं Arch Linux
। यहाँ बुनियादी सिस्टम इन्फोस हैं:
[chb@conventiont ~]$ uname -a
Linux conventiont 3.17.4-Chb #1 SMP PREEMPT Fri Nov 28 12:39:54 UTC 2014 x86_64 GNU/Linux
यह एक कस्टम / संकलित कर्नेल है user namespace enabled
:
[chb@conventiont ~]$ lxc-checkconfig
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: enabled
Network namespace: enabled
Multiple /dev/pts instances: enabled
--- Control groups ---
Cgroup: enabled
Cgroup clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: enabled
Cgroup cpuset: enabled
--- Misc ---
Veth pair device: enabled
Macvlan: enabled
Vlan: enabled
File capabilities: enabled
Note : Before booting a new kernel, you can check its configuration
usage : CONFIG=/path/to/config /usr/bin/lxc-checkconfig
[chb@conventiont ~]$ systemctl --version
systemd 217
+PAM -AUDIT -SELINUX -IMA -APPARMOR +SMACK -SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS +KMOD +IDN
दुर्भाग्य से, वर्तमान में systemd
अच्छा नहीं खेलता है lxc
। विशेष रूप से cgroups
एक गैर-रूट उपयोगकर्ता के लिए स्थापित करना अच्छा नहीं लग रहा है या मैं अभी भी अपरिचित हूं कि यह कैसे करना है। lxc
केवल unprivileged मोड में एक कंटेनर शुरू करेगा जब यह आवश्यक cgroups बना सकता है /sys/fs/cgroup/XXX/*
। हालाँकि यह संभव नहीं है lxc
क्योंकि systemd
इसमें root
cgroup पदानुक्रम की गणना होती है /sys/fs/cgroup/*
। निम्नलिखित के लिए एक वर्कअराउंड लगता है:
for d in /sys/fs/cgroup/*; do
f=$(basename $d)
echo "looking at $f"
if [ "$f" = "cpuset" ]; then
echo 1 | sudo tee -a $d/cgroup.clone_children;
elif [ "$f" = "memory" ]; then
echo 1 | sudo tee -a $d/memory.use_hierarchy;
fi
sudo mkdir -p $d/$USER
sudo chown -R $USER $d/$USER
echo $$ > $d/$USER/tasks
done
यह कोड एक अनपेक्षित उपयोगकर्ता के लिए पदानुक्रम cgroup
में संबंधित निर्देशिका बनाता है cgroup
। हालाँकि, जो कुछ मुझे समझ में नहीं आता है। पूर्वोक्त निष्पादित करने से पहले मैं इसे देखूंगा:
[chb@conventiont ~]$ cat /proc/self/cgroup
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope
उपरोक्त कोड को निष्पादित करने के बाद, मैं उस शेल में देखता हूं जिसे मैंने इसमें चलाया था:
[chb@conventiont ~]$ cat /proc/self/cgroup
8:blkio:/chb
7:net_cls:/chb
6:freezer:/chb
5:devices:/chb
4:memory:/chb
3:cpu,cpuacct:/chb
2:cpuset:/chb
1:name=systemd:/chb
लेकिन किसी भी अन्य खोल में मैं अभी भी देखता हूं:
[chb@conventiont ~]$ cat /proc/self/cgroup
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope
इसलिए, मैं अपने अनपेक्षित lxc
कंटेनर को शेल में शुरू कर सकता हूं मैंने ऊपर उल्लिखित कोड निष्पादित किया है लेकिन किसी अन्य में नहीं।
क्या कोई इस व्यवहार की व्याख्या कर सकता है?
क्या किसी
cgroups
कोsystemd
(>= 217
) के वर्तमान संस्करण के साथ आवश्यक सेट करने का एक बेहतर तरीका मिल गया है ?