PID Namespace
Grundlegende Informationen
Der PID (Process IDentifier)-Namespace ist eine Funktion im Linux-Kernel, die Prozessisolierung ermöglicht, indem sie einer Gruppe von Prozessen eine eigene Reihe eindeutiger PIDs zuweist, die von den PIDs in anderen Namespaces getrennt sind. Dies ist besonders nützlich bei der Containerisierung, wo die Prozessisolierung für Sicherheit und Ressourcenmanagement unerlässlich ist.
Wenn ein neuer PID-Namespace erstellt wird, wird dem ersten Prozess in diesem Namespace die PID 1 zugewiesen. Dieser Prozess wird zum "init"-Prozess des neuen Namespaces und ist für die Verwaltung anderer Prozesse innerhalb des Namespaces verantwortlich. Jeder nachfolgende Prozess, der innerhalb des Namespaces erstellt wird, hat eine eindeutige PID innerhalb dieses Namespaces, und diese PIDs sind unabhängig von den PIDs in anderen Namespaces.
Aus der Sicht eines Prozesses innerhalb eines PID-Namespace kann er nur andere Prozesse im selben Namespace sehen. Er ist sich nicht bewusst von Prozessen in anderen Namespaces und kann nicht mit ihnen mithilfe herkömmlicher Prozessverwaltungstools (z. B. kill
, wait
, usw.) interagieren. Dies bietet eine Isolierungsebene, die verhindert, dass Prozesse sich gegenseitig beeinträchtigen.
Wie es funktioniert:
Wenn ein neuer Prozess erstellt wird (z. B. durch Verwendung des
clone()
-Systemaufrufs), kann der Prozess einem neuen oder vorhandenen PID-Namespace zugewiesen werden. Wenn ein neuer Namespace erstellt wird, wird der Prozess zum "init"-Prozess dieses Namespaces.Der Kernel pflegt eine Zuordnung zwischen den PIDs im neuen Namespace und den entsprechenden PIDs im Eltern-Namespace (d. h. dem Namespace, aus dem der neue Namespace erstellt wurde). Diese Zuordnung ermöglicht es dem Kernel, PIDs bei Bedarf zu übersetzen, z. B. beim Senden von Signalen zwischen Prozessen in verschiedenen Namespaces.
Prozesse innerhalb eines PID-Namespace können nur andere Prozesse im selben Namespace sehen und mit ihnen interagieren. Sie sind sich nicht bewusst von Prozessen in anderen Namespaces, und ihre PIDs sind innerhalb ihres Namespaces eindeutig.
Wenn ein PID-Namespace zerstört wird (z. B. wenn der "init"-Prozess des Namespaces beendet wird), werden alle Prozesse innerhalb dieses Namespaces beendet. Dadurch wird sichergestellt, dass alle mit dem Namespace verbundenen Ressourcen ordnungsgemäß bereinigt werden.
Labor:
Verschiedene Namespaces erstellen
CLI
Durch das Einbinden einer neuen Instanz des /proc
-Dateisystems, wenn Sie den Parameter --mount-proc
verwenden, stellen Sie sicher, dass der neue Mount-Namespace eine genaue und isolierte Ansicht der prozessspezifischen Informationen für diesen Namespace hat.
Docker
Überprüfen Sie, in welchem Namespace sich Ihr Prozess befindet
Um festzustellen, in welchem Namespace sich Ihr Prozess befindet, können Sie den folgenden Befehl verwenden:
Ersetzen Sie <PID>
durch die Prozess-ID, für die Sie den Namespace überprüfen möchten. Dieser Befehl listet die Symbolic Links zu den verschiedenen Namespaces auf, in denen der Prozess vorhanden ist.
Wenn Sie beispielsweise den PID 1234 überprüfen möchten, führen Sie den folgenden Befehl aus:
Die Ausgabe zeigt die verschiedenen Namespaces an, in denen der Prozess vorhanden ist.
Alle PID-Namespaces finden
Beachten Sie, dass der Root-Benutzer aus dem ursprünglichen (Standard-) PID-Namespace alle Prozesse sehen kann, auch diejenigen in neuen PID-Namensräumen. Deshalb können wir alle PID-Namensräume sehen.
Betreten Sie einen PID-Namespace
Wenn Sie sich innerhalb eines PID-Namespaces befinden, können Sie immer noch alle Prozesse sehen. Und der Prozess aus diesem PID-NS kann das neue Bash im PID-NS sehen.
Außerdem können Sie nur in einen anderen Prozess-PID-Namespace eintreten, wenn Sie root sind. Und Sie können nicht in einen anderen Namespace eintreten, ohne einen Zeiger darauf zu haben (wie z.B. /proc/self/ns/pid
).
Referenzen
Last updated