Provided by: manpages-fr_4.23.1-1_all bug

NOM

       cgroup_namespaces – Aperçu des espaces de noms cgroup de Linux

DESCRIPTION

       Pour une présentation générale des espaces de noms, consultez namespaces(7).

       Les  espaces  de  noms  cgroup  virtualisent  la  vue  des cgroups de processus (consulter
       cgroups(7)) telle qu’aperçue à l’aide de /proc/pid/cgroup et /proc/pid/mountinfo.

       Chaque espace de noms cgroup a son propre ensemble de répertoires racines de  cgroup.  Ces
       répertoires  racines  sont les points de base pour les emplacements relatifs affichés dans
       les enregistrements correspondants dans le fichier /proc/pid/cgroup.  Quand  un  processus
       crée  un  nouvel espace de noms cgroup en utilisant clone(2) ou unshare(2) avec le drapeau
       CLONE_NEWCGROUP, ses répertoires de cgroups actuels deviennent les répertoires racines  de
       cgroup  dans  le  nouvel  espace  de  noms  (cela  s’applique pour les hiérarchies cgroups
       version 1 et la hiérarchie unifiée cgroups version 2).

       Lors de la lecture des appartenances à un cgroup d’un  processus  « cible »  à  partir  de
       /proc/pid/cgroup,  le chemin affiché dans le troisième champ de chaque enregistrement sera
       relatif au répertoire racine du processus lisant  pour  la  hiérarchie  correspondante  de
       cgroup.  Si  le  répertoire  de  cgroup  du processus cible réside en dehors du répertoire
       racine de l’espace de noms cgroup du processus lisant, alors le chemin affiche les entrées
       ../ pour chaque niveau ancêtre dans la hiérarchie de cgroup.

       La  session d’interpréteur suivante montre les effets de la création d’un nouvel espace de
       noms cgroup.

       D’abord, (en tant que superutilisateur) dans un interpréteur dans l’espace de noms  cgroup
       initial,  nous  créons un cgroup enfant dans la hiérarchie freezer et plaçons un processus
       dans ce cgroup que nous utiliserons comme partie de la démonstration suivante :

           # mkdir -p /sys/fs/cgroup/freezer/sub2
           # sleep 10000 &     # Création d’un processus qui vit pendant un certain temps
           [1] 20124
           # echo 20124 > /sys/fs/cgroup/freezer/sub2/cgroup.procs

       Puis  créons  un  nouveau  cgroup  enfant  dans  la  hiérarchie   freezer   et   intégrons
       l’interpréteur dans ce cgroup :

           # mkdir -p /sys/fs/cgroup/freezer/sub
           # echo $$                      # Affichage du PID de l’interpréteur
           30655
           # echo 30655 > /sys/fs/cgroup/freezer/sub/cgroup.procs
           # cat /proc/self/cgroup | grep freezer
           7:freezer:/sub

       Ensuite,   nous   utilisons  unshare(1)  pour  créer  un  processus  exécutant  un  nouvel
       interpréteur dans les nouveaux espaces de noms cgroup et montage :

           # PS1="sh2# " unshare -Cm bash

       À partir du nouvel interpréteur démarré par unshare(1), nous inspectons alors les fichiers
       /proc/pid/cgroup  de,  respectivement,  le  nouvel interpréteur, un processus qui est dans
       l’espace de noms cgroup initial (init, avec PID 1) et le processus dans  le  cgroup  frère
       (sub2) :

           sh2# cat /proc/self/cgroup | grep freezer
           7:freezer:/
           sh2# cat /proc/1/cgroup | grep freezer
           7:freezer:/..
           sh2# cat /proc/20124/cgroup | grep freezer
           7:freezer:/../sub2

       Dans  la  sortie de la première commande, nous voyons que l’appartenance au cgroup freezer
       du nouvel interpréteur (qui est dans  le  même  cgroup  que  l’interpréteur  initial)  est
       affichée  comme  définie  relativement  au  répertoire  racine du cgroup freezer qui a été
       établi quand le nouvel espace de noms cgroup a été créé (en absolu, le nouvel interpréteur
       est dans la hiérarchie du cgroup freezer /sub, et le répertoire racine de la hiérarchie du
       cgroup freezer dans le nouvel espace de  noms  cgroup  est  aussi  /sub.  Par  conséquent,
       l’appartenance à un cgroup du nouvel interpréteur est affichée sous forme « / »).

       Cependant,  quand  nous  regardons  dans  /proc/self/mountinfo, nous constatons l’anomalie
       suivante :

           sh2# cat /proc/self/mountinfo | grep freezer
           155 145 0:32 /.. /sys/fs/cgroup/freezer ...

       Le quatrième champ de cette ligne (/..) devrait montrer le répertoire dans le  système  de
       fichiers  de  cgroup  qui  forme  la  racine  de  ce  montage.  Étant donné que suivant la
       définition des espaces de noms cgroup, le répertoire actuel du cgroup freezer du processus
       devient le répertoire racine du cgroup freezer, nous devrions voir « / » dans ce champ. Le
       problème ici est que nous voyons une entrée de montage pour le système de fichiers cgroup,
       correspondant  à  l’espace de noms cgroup initial (dont le système de fichiers cgroup a en
       fait sa racine dans le répertoire parent de sub). Pour corriger ce problème,  nous  devons
       remonter  le  système  de  fichiers  du  cgroup  freezer  à  partir du nouvel interpréteur
       (c’est-à-dire réaliser le montage à partir d’un processus qui est dans le nouvel espace de
       noms cgroup) ; après quoi, nous verrons les résultats attendus :

           sh2# mount --make-rslave /     # Ne pas propager les évènements de
                                          # montage aux autres espaces de noms
           sh2# umount /sys/fs/cgroup/freezer
           sh2# mount -t cgroup -o freezer freezer /sys/fs/cgroup/freezer
           sh2# cat /proc/self/mountinfo | grep freezer
           155 145 0:32 / /sys/fs/cgroup/freezer rw,relatime ...

STANDARDS

       Linux.

NOTES

       L’utilisation  des  espaces  de  noms  cgroup  requiert  un  noyau configuré avec l’option
       CONFIG_CGROUPS.

       La virtualisation offerte par les espaces de noms cgroup poursuit plusieurs buts :

       -  elle prévient une fuite d’informations par laquelle des chemins de répertoire de cgroup
          en  dehors  d’un  conteneur  seraient  visibles par les processus dans le conteneur. De
          telles fuites pourraient, par exemple, révéler des informations à propos  du  cadriciel
          utilisé pour mettre en conteneur les applications ;

       -  elle  facilite  des  tâches  telles  que  la  migration de conteneur. La virtualisation
          offerte par les espaces de noms cgroup permet aux  conteneurs  d’être  protégés  de  la
          connaissance  des  noms  de chemin de cgroups ancêtres. Sans cette protection, tous les
          noms de chemin de cgroup (affichés dans /proc/self/cgroups)  devraient  être  répliqués
          sur  le système cible lors de la migration d’un conteneur. Ces noms de chemin devraient
          aussi être uniques, de façon à ne pas entrer en conflit avec d’autres  noms  de  chemin
          dans le système cible ;

       -  elle  permet  un  meilleur  confinement  des processus mis en conteneur parce qu’il est
          possible de monter le système de fichiers de cgroup du conteneur de telle façon que les
          processus du conteneur puissent accéder aux répertoires du cgroup ancêtre. Considérons,
          par exemple, le scénario suivant :

          -  nous avons un répertoire de cgroup, /cg/1 dont  le  propriétaire  est  l’utilisateur
             d’ID 9000,

          -  nous  avons un processus, X, dont le propriétaire est aussi l’utilisateur d’ID 9000,
             qui est mis dans l’espace de noms sous le cgroup /cg/1/2 (c’est-à-dire X a été placé
             dans  un  nouvel  espace  de  noms cgroup à l’aide de clone(2) ou unshare(2) avec le
             drapeau CLONE_NEWCGROUP).

          Si le cgroup n’est pas mis dans un espace de noms, comme le répertoire de cgroup  /cg/1
          a  pour  propriétaire  l’UID 9000  (qui  peut  l'éditer) et le processus X a aussi pour
          propriétaire l’utilisateur d’ID 9000, le processus X pourrait modifier le  contenu  des
          fichiers  de  cgroup (c’est-à-dire modifier les réglages de cgroup), non seulement dans
          /cg/1/2, mais aussi dans le répertoire ancêtre de cgroup /cg/1. La mise  en  espace  de
          noms  du  processus X  sous  le  répertoire  de cgroup /cg/1/2, en combinaison avec les
          opérations adaptées de montage pour le système de  fichiers  de  cgroup  (comme  montré
          ci-dessus), empêche le processus de modifier les fichiers dans /cg/1, puisqu’il ne peut
          même pas voir le contenu de ce  répertoire  (ou  des  répertoires  ancêtres  de  cgroup
          supprimés  ultérieurement).  Combiné  avec  une  application  correcte  des  limites de
          hiérarchie, cela empêche le processus X de sortir des limites imposées par les  cgroups
          ancêtres.

VOIR AUSSI

       unshare(1),   clone(2),   setns(2),   unshare(2),   proc(5),  cgroups(7),  credentials(7),
       namespaces(7), user_namespaces(7)

TRADUCTION

       La traduction française de cette  page  de  manuel  a  été  créée  par  Christophe  Blaess
       <https://www.blaess.fr/christophe/>,  Stéphan  Rafin  <stephan.rafin@laposte.net>, Thierry
       Vignaud <tvignaud@mandriva.com>, François Micaux, Alain  Portal  <aportal@univ-montp2.fr>,
       Jean-Philippe    Guérard   <fevrier@tigreraye.org>,   Jean-Luc   Coulon   (f5ibh)   <jean-
       luc.coulon@wanadoo.fr>,   Julien    Cristau    <jcristau@debian.org>,    Thomas    Huriaux
       <thomas.huriaux@gmail.com>, Nicolas François <nicolas.francois@centraliens.net>, Florentin
       Duneau <fduneau@gmail.com>, Simon Paillard <simon.paillard@resel.enst-bretagne.fr>,  Denis
       Barbier  <barbier@debian.org>,  David  Prévot <david@tilapin.org> et Jean-Paul Guillonneau
       <guillonneau.jeanpaul@free.fr>

       Cette traduction est une documentation libre ; veuillez vous reporter  à  la  GNU  General
       Public   License   version 3  ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩  concernant  les
       conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

       Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un
       message à ⟨debian-l10n-french@lists.debian.org⟩.