PID Namespace
Información Básica
El espacio de nombres PID (Process IDentifier) es una característica en el kernel de Linux que proporciona aislamiento de procesos al permitir que un grupo de procesos tenga su propio conjunto de PIDs únicos, separados de los PIDs en otros espacios de nombres. Esto es particularmente útil en la contenerización, donde el aislamiento de procesos es esencial para la seguridad y la gestión de recursos.
Cuando se crea un nuevo espacio de nombres PID, el primer proceso en ese espacio se le asigna el PID 1. Este proceso se convierte en el proceso "init" del nuevo espacio y es responsable de gestionar otros procesos dentro del espacio. Cada proceso posterior creado dentro del espacio tendrá un PID único dentro de ese espacio, y estos PIDs serán independientes de los PIDs en otros espacios de nombres.
Desde la perspectiva de un proceso dentro de un espacio de nombres PID, solo puede ver otros procesos en el mismo espacio. No es consciente de los procesos en otros espacios de nombres y no puede interactuar con ellos utilizando herramientas tradicionales de gestión de procesos (por ejemplo, kill
, wait
, etc.). Esto proporciona un nivel de aislamiento que ayuda a evitar que los procesos interfieran entre sí.
Cómo funciona:
Cuando se crea un nuevo proceso (por ejemplo, utilizando la llamada al sistema
clone()
), el proceso puede asignarse a un espacio de nombres PID nuevo o existente. Si se crea un nuevo espacio, el proceso se convierte en el proceso "init" de ese espacio.El kernel mantiene un mapeo entre los PIDs en el nuevo espacio y los PIDs correspondientes en el espacio padre (es decir, el espacio desde el cual se creó el nuevo espacio). Este mapeo permite al kernel traducir los PIDs cuando sea necesario, como al enviar señales entre procesos en diferentes espacios de nombres.
Los procesos dentro de un espacio de nombres PID solo pueden ver e interactuar con otros procesos en el mismo espacio. No son conscientes de los procesos en otros espacios de nombres y sus PIDs son únicos dentro de su espacio.
Cuando se destruye un espacio de nombres PID (por ejemplo, cuando el proceso "init" del espacio sale), todos los procesos dentro de ese espacio se terminan. Esto asegura que todos los recursos asociados con el espacio se limpien correctamente.
Laboratorio:
Crear diferentes Espacios de Nombres
CLI
Al montar una nueva instancia del sistema de archivos /proc
si se utiliza el parámetro --mount-proc
, se asegura de que el nuevo espacio de nombres de montaje tenga una vista precisa y aislada de la información de procesos específica de ese espacio de nombres.
Docker
Comprobar en qué espacio de nombres está su proceso
Encontrar todos los espacios de nombres de PID
Tenga en cuenta que el usuario root desde el espacio de nombres PID inicial (predeterminado) puede ver todos los procesos, incluso los que están en nuevos espacios de nombres PID, por eso podemos ver todos los espacios de nombres PID.
Entrar dentro de un espacio de nombres PID
Cuando entras dentro de un espacio de nombres PID desde el espacio de nombres predeterminado, seguirás pudiendo ver todos los procesos. Y el proceso de ese espacio de nombres PID podrá ver el nuevo bash en el espacio de nombres PID.
Además, solo puedes entrar en otro espacio de nombres de PID si eres root. Y no puedes entrar en otro espacio de nombres sin un descriptor que apunte a él (como /proc/self/ns/pid
)
Referencias
Última actualización