systemdでユーザーcgroupを作成する方法

で非特権lxcコンテナを使用していArch Linuxます。基本的なシステム情報は次のとおりです。

[chb@conventiont ~]$ uname -a
Linux conventiont 3.17.4-Chb #1 SMP PREEMPT Fri Nov 28 12:39:54 UTC 2014 x86_64 GNU/Linux

これは、カスタム/コンパイルされたカーネルuser namespace enabledです：

[chb@conventiont ~]$ lxc-checkconfig 
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: enabled
Network namespace: enabled
Multiple /dev/pts instances: enabled

--- Control groups ---
Cgroup: enabled
Cgroup clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: enabled
Cgroup cpuset: enabled

--- Misc ---
Veth pair device: enabled
Macvlan: enabled
Vlan: enabled
File capabilities: enabled

Note : Before booting a new kernel, you can check its configuration
usage : CONFIG=/path/to/config /usr/bin/lxc-checkconfig

[chb@conventiont ~]$ systemctl --version
systemd 217
+PAM -AUDIT -SELINUX -IMA -APPARMOR +SMACK -SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS +KMOD +IDN 

残念ながら、現在はsystemdうまく動作しませんlxc。特にcgroups、root以外のユーザー向けのセットアップはうまく機能していないようです。または、これを行う方法があまりにも不慣れです。lxcで必要なcgroupを作成できる場合にのみ、コンテナを非特権モードで起動し/sys/fs/cgroup/XXX/*ます。ただし、これはcgroup階層をにマウントするlxcため不可能です。回避策は次のようにすることです。systemdroot/sys/fs/cgroup/*

for d in /sys/fs/cgroup/*; do
        f=$(basename $d)
        echo "looking at $f"
        if [ "$f" = "cpuset" ]; then
                echo 1 | sudo tee -a $d/cgroup.clone_children;
        elif [ "$f" = "memory" ]; then
                echo 1 | sudo tee -a $d/memory.use_hierarchy;
        fi
        sudo mkdir -p $d/$USER
        sudo chown -R $USER $d/$USER
        echo $$ > $d/$USER/tasks
done

このコードは、非特権ユーザーの階層に対応するcgroupディレクトリを作成しcgroupます。しかし、私には理解できないことが起こります。前述を実行する前に、これが表示されます。

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope

上記のコードを実行した後、シェルで表示されます：

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/chb
7:net_cls:/chb
6:freezer:/chb
5:devices:/chb
4:memory:/chb
3:cpu,cpuacct:/chb
2:cpuset:/chb
1:name=systemd:/chb

しかし、他のシェルにはまだ表示されます：

[chb@conventiont ~]$ cat /proc/self/cgroup 
8:blkio:/
7:net_cls:/
6:freezer:/
5:devices:/
4:memory:/
3:cpu,cpuacct:/
2:cpuset:/
1:name=systemd:/user.slice/user-1000.slice/session-c1.scope

したがって、lxc上記のコードを実行したシェルで非特権コンテナを起動できますが、他のコンテナでは起動できません。

1. 誰かがこの行動を説明できますか？

2. 誰かがcgroups現在のバージョンsystemd（>= 217）で必要な設定を行うより良い方法を見つけましたか？

より優れた安全なソリューションはcgmanager、systemctl start cgmanager（systemdベースのディストリビューションで）インストールして実行することです。それから、あなたにrootユーザーを持たせることができます。またはsudo、ホストで権限を持っている場合はcgroups、すべてのコントローラーで非特権ユーザー用に以下を作成します。

sudo cgm create all $USER
sudo cgm chown all $USER $(id -u $USER) $(id -g $USER)

特権のないユーザー用に作成されたら、アクセスできるプロセスをcgroupすべてのコントローラーに移動できます：

cgm movepid all $USER $PPID

私が投稿したシェルスクリプトより安全、高速、信頼性が高い。

手動ソリューション：

回答するには1。

for d in /sys/fs/cgroup/*; do
        f=$(basename $d)
        echo "looking at $f"
        if [ "$f" = "cpuset" ]; then
                echo 1 | sudo tee -a $d/cgroup.clone_children;
        elif [ "$f" = "memory" ]; then
                echo 1 | sudo tee -a $d/memory.use_hierarchy;
        fi
        sudo mkdir -p $d/$USER
        sudo chown -R $USER $d/$USER
        echo $$ > $d/$USER/tasks
done

私はそのスクリプトを書いたときに何が起こっていたかについては無知でしたが、これを読んで少し実験することで、何が起こっているのかを理解するのに役立ちました。このスクリプトで基本的に行っていることは、既に説明したようにcgroup、現在のセッション用に新しいセッションを作成するuserことです。私は、現在ではこれらのコマンドを実行すると、shellまたはスクリプトでそれらを実行し、それが現在で評価されますので、それを作るshellではなくsubshell（経由仕事に、このために重要です！）私はちょうどのための新しいセッションを開いていないということですただし、この新しいcgroupで実行されるプロセスとして現在のシェルを追加します。サブシェルでスクリプトを実行することで同じ効果を達成し、次に階層内に降りて使用します. script.usercgroupchb subcgroupecho $$ > tasksのすべてのメンバーに現在のシェルを追加しchb cgroup hierarchyます。

したがって、lxcその現在のシェルで実行すると、私のコンテナーはchb subcgroup、現在のメンバーであるすべてのsのメンバーにもなりshellます。つまり、myはmy containerのcgroupステータスを継承しますshell。これは、現在chb subcgroupのsの一部ではない他のシェルで動作しない理由も説明します。

私はまだ通り2.ます。おそらく、systemd更新またはさらなるKernel開発のいずれかsystemdが一貫した動作を採用するのを待つ必要がありますが、とにかく手動のセットアップを好むので、何をしているのか理解する必要があります。

実際、archlinuxでは、これは、たとえば特権のないユーザーでは機能しません（unpriv。lxcコンテナーを使用する場合に推奨）。すなわち、そのユーザーはsudoを持っていません:)

代わりに、/ etc / cgconfig.confでグループを定義し、cgconfig、cgrules（AURのlibcgroup）をアクティブにし、cgrulesも追加してください。ユーザーも同じ権利を持ちます。

systemd 218（いつ、私は知りませんが、cgconfigの方法で作成されたときに設定されていないため、さらに2つの条件を追加する必要があるようです）：

cat /etc/cgconfig.conf

group lxcadmin {
perm {
    task {
        uid = lxcadmin;
        gid = lxcadmin;
    }
    admin {
        uid = lxcadmin;
        gid = lxcadmin;
    }
}
cpu { }
memory { memory.use_hierarchy = 1; }  
blkio { }
cpuacct { }
cpuset { 
    cgroup.clone_children = 1;
    cpuset.mems = 0;
    cpuset.cpus = 0-3; 
}
devices { }
freezer { }
hugetlb { }
net_cls { }
}

cat /etc/cgrules.conf
lxcadmin        *       lxcadmin/

名前空間がカーネルでコンパイルされていると仮定します。

これはテンプレートであり、cpusは使用しているコアの数に応じて、memは実際の値などに設定できます。

編集2：最後に、systemdでは、そのような非特権ユーザーで自動起動を使用したい場合は、次のことができます：

cp /usr/lib/systemd/system/lxc{,admin}\@.service、次にUser = lxcadminを追加します

lolz systemctl enable lxcadmin @ lolzと呼ばれるlxcadminのコンテナに対して有効にします。

そのため、CentOS 7でLXC非特権コンテナーを動作させようとすると、同じ問題に遭遇しましたcgmanager。絶対に必要でない場合、追加のサービスを導入したくないので、使いたくありませんでした。代わりに私がやったことは、ubuntuパッケージのいくつかのパッチと1つのカスタムパッチを使用してsystemdにパッチを当て、cgroupコントローラのリストを拡張することです。https://github.com/CtrlC-Root/rpmdistで GitHubアカウントにRPMを構築するために必要なソースがあります。また、shadow-utils（subuidsおよびsubgids用）およびpam（loginuid用）のパッチバージョンもあります。これらのRPMをインストールし、非特権コンテナーを実行するようにユーザーを構成した後（subuidsとsubgidsの割り当て、lxc-usernetでのvethペアの割り当て、.config / lxc / default.confの作成など）、LXC非特権コンテナーを正常に実行できます。

編集：cgmanagerを使用したくないもう1つの理由は、通常のユーザーにsudoをまったく使用させたくないからです。通常のユーザーはログインでき、すべてが箱から出して「正常に動作」するはずです。