Un espacio de nombres CGroup es una característica del kernel de Linux que proporciona aislamiento de jerarquías de cgroups para procesos que se ejecutan dentro de un espacio de nombres. Los cgroups, abreviatura de grupos de control, son una característica del kernel que permite organizar procesos en grupos jerárquicos para gestionar y hacer cumplir límites en los recursos del sistema como CPU, memoria y E/S.
Si bien los espacios de nombres de cgroups no son un tipo de espacio de nombres separado como los que discutimos anteriormente (PID, montaje, red, etc.), están relacionados con el concepto de aislamiento de espacios de nombres. Los espacios de nombres de cgroups virtualizan la vista de la jerarquía de cgroups, de modo que los procesos que se ejecutan dentro de un espacio de nombres de cgroups tienen una vista diferente de la jerarquía en comparación con los procesos que se ejecutan en el host u otros espacios de nombres.
Cómo funciona:
Cuando se crea un nuevo espacio de nombres de cgroups, comienza con una vista de la jerarquía de cgroups basada en el cgroup del proceso que lo crea. Esto significa que los procesos que se ejecutan en el nuevo espacio de nombres de cgroups solo verán un subconjunto de toda la jerarquía de cgroups, limitada al subárbol de cgroups enraizado en el cgroup del proceso que lo crea.
Los procesos dentro de un espacio de nombres de cgroups verán su propio cgroup como la raíz de la jerarquía. Esto significa que, desde la perspectiva de los procesos dentro del espacio de nombres, su propio cgroup aparece como la raíz, y no pueden ver ni acceder a cgroups fuera de su propio subárbol.
Los espacios de nombres de cgroups no proporcionan directamente aislamiento de recursos; solo proporcionan aislamiento de la vista de la jerarquía de cgroups. El control y aislamiento de recursos aún son aplicados por los subsistemas de cgroups (por ejemplo, cpu, memoria, etc.) en sí mismos.
Para obtener más información sobre CGroups, consulta:
Al montar una nueva instancia del sistema de archivos /proc si se utiliza el parámetro --mount-proc, se asegura de que el nuevo espacio de nombres de montaje tenga una vista precisa y aislada de la información de procesos específica para ese espacio de nombres.
Error: bash: fork: Cannot allocate memory
Cuando se ejecuta unshare sin la opción -f, se encuentra un error debido a la forma en que Linux maneja los nuevos espacios de nombres de PID (Identificador de Proceso). A continuación se describen los detalles clave y la solución:
Explicación del Problema:
El kernel de Linux permite que un proceso cree nuevos espacios de nombres utilizando la llamada al sistema unshare. Sin embargo, el proceso que inicia la creación de un nuevo espacio de nombres de PID (llamado proceso "unshare") no entra en el nuevo espacio de nombres; solo lo hacen sus procesos secundarios.
Ejecutar %unshare -p /bin/bash% inicia /bin/bash en el mismo proceso que unshare. En consecuencia, /bin/bash y sus procesos secundarios están en el espacio de nombres de PID original.
El primer proceso secundario de /bin/bash en el nuevo espacio de nombres se convierte en PID 1. Cuando este proceso sale, desencadena la limpieza del espacio de nombres si no hay otros procesos, ya que PID 1 tiene el papel especial de adoptar procesos huérfanos. El kernel de Linux deshabilitará entonces la asignación de PID en ese espacio de nombres.
Consecuencia:
La salida de PID 1 en un nuevo espacio de nombres conduce a la limpieza de la bandera PIDNS_HASH_ADDING. Esto resulta en que la función alloc_pid falle al asignar un nuevo PID al crear un nuevo proceso, lo que produce el error "Cannot allocate memory".
Solución:
El problema se puede resolver utilizando la opción -f con unshare. Esta opción hace que unshare bifurque un nuevo proceso después de crear el nuevo espacio de nombres de PID.
Al ejecutar %unshare -fp /bin/bash%, se asegura de que el comando unshare se convierta en PID 1 en el nuevo espacio de nombres. /bin/bash y sus procesos secundarios están entonces contenidos de forma segura dentro de este nuevo espacio de nombres, evitando la salida prematura de PID 1 y permitiendo una asignación normal de PID.
Al garantizar que unshare se ejecute con la bandera -f, el nuevo espacio de nombres de PID se mantiene correctamente, lo que permite que /bin/bash y sus subprocesos funcionen sin encontrar el error de asignación de memoria.
sudofind/proc-maxdepth3-typel-namecgroup-execreadlink{} \; 2>/dev/null|sort-u# Find the processes with an specific namespacesudofind/proc-maxdepth3-typel-namecgroup-execls-l{} \; 2>/dev/null|grep<ns-number>
Entrar dentro de un espacio de nombres de CGroup
nsenter-CTARGET_PID--pid/bin/bash
También, solo puedes entrar en otro espacio de nombres de proceso si eres root. Y no puedesentrar en otro espacio de nombres sin un descriptor que apunte a él (como /proc/self/ns/cgroup).
