Provided by: manpages-fr_4.23.1-1_all
NOM
cgroups – Groupes de contrôle de Linux
DESCRIPTION
Les groupes de contrôle, habituellement appelés cgroups, sont une fonctionnalité du noyau Linux qui permet d'organiser les processus en groupes hiérarchiques afin de limiter et de superviser leur utilisation de types divers de ressource. L’interface cgroup du noyau est fournie à travers un pseudo-système de fichiers appelé cgroupfs. Le regroupement est implémenté dans le code central cgroup du noyau, tandis que le suivi et les limites de ressources sont implémentés dans un ensemble de sous-systèmes de type par ressource (mémoire, CPU, etc.). Terminologie Un cgroup est une collection de processus qui sont liés à un ensemble de limites ou de paramètres définis à l’aide du système de fichiers cgroup. Un sous-système est un composant du noyau qui modifie le comportement des processus dans un cgroup. Divers sous-systèmes ont été implémentés, rendant possible de faire des choses comme la limitation de temps CPU et de mémoire disponibles pour un cgroup, la comptabilisation du temps CPU utilisé dans un cgroup et le gel ou la reprise de l’exécution des processus dans un cgroup. Les sous-systèmes sont parfois connus comme contrôleurs de ressource (ou simplement, contrôleurs). Les cgroups pour un contrôleur sont agencés dans une hiérarchie. Celle-ci est définie en créant, supprimant et renommant des sous-répertoires dans le système de fichiers cgroup. À chaque niveau de la hiérarchie, des attributs (par exemple, des limites) peuvent être définis. Les limites, le contrôle et la comptabilisation fournis par les cgroups ont généralement des effets partout dans la sous-hiérarchie du cgroup où les attributs sont définis. Par conséquent, par exemple, les limites placées dans un cgroup d’un niveau supérieur dans la hiérarchie ne peuvent être franchies par des cgroups descendants. Cgroups version 1 et version 2 La publication initiale de l’implémentation des cgroups a été faite dans Linux 2.6.24. Au cours du temps, divers contrôleurs de cgroup ont été ajoutés pour permettre la gestion de divers types de ressources. Cependant, le développement de ces contrôleurs n’a pas été coordonné en grande partie avec pour résultat l'apparition de nombreuses incohérences entre les contrôleurs et une complexité accrue de la gestion des hiérarchies de cgroup. Une description plus complète de ces problèmes peut être trouvée dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v2.rst (ou Documentation/cgroup-v2.txt dans Linux version 4.17 et précédentes). À cause des problèmes avec l’implémentation initiale des cgroups (cgroups version 1), des travaux ont commencé, à partir de Linux 3.10, sur une nouvelle implémentation indépendante pour remédier à ces problèmes. Au départ marquée comme expérimentale, et dissimulée derrière l’option de montage -o __DEVEL__sane_behavior, la nouvelle version (cgroups version 2) est devenue finalement officielle avec la publication de Linux 4.5. Les différences entre les deux versions sont décrites dans le texte qui suit. Le fichier cgroup.sane_behavior, présent dans cgroups version 1, est un vestige de cette option de montage. Le fichier indique toujours « 0 » et n’est conservé que pour la rétrocompatibilité. Bien que cgroups version 2 soit destiné à remplacer la version 1, l’ancien système continue à exister (et pour des raisons de compatibilité, ne sera vraisemblablement pas supprimé). Actuellement, cgroups version 2 implémente un sous-ensemble de contrôleurs disponibles dans cgroups version 1. Les deux systèmes sont implémentés de façon que les contrôleurs version 1 et 2 puissent être montés sur le même système. Ainsi, par exemple, il est possible d’utiliser les contrôleurs qui sont pris en charge par la version 2, tout en utilisant aussi des contrôleurs version 1 là où la version 2 ne les prend pas encore en charge. La seule restriction ici est qu’un contrôleur ne peut pas être employé simultanément dans une hiérarchie de cgroups version 1 et dans une hiérarchie de cgroups version 2.
CGROUPS VERSION 1
Sous cgroups version 1, chaque contrôleur peut être monté pour un système de fichiers cgroup distinct qui fournit sa propre organisation hiérarchique des processus dans le système. Il est aussi possible de co-monter plusieurs (et même tous) les contrôleurs de cgroups version 1 pour le même système de fichiers cgroup, ce qui signifie que les contrôleurs co-montés gèrent la même organisation hiérarchique des processus. Pour chaque hiérarchie montée, l’arbre de répertoires reflète la hiérarchie de groupes de contrôle. Chaque groupe de contrôle est représenté par un répertoire, avec chaque cgroup de contrôle enfant représenté par un répertoire enfant. Par exemple, /user/joe/1.session représente le groupe de contrôle 1.session, qui est un enfant du cgroup joe, qui est un enfant de /user. Sous chaque répertoire cgroup existe un ensemble de fichiers qui peuvent être lus ou écrits, reflétant les limites de ressources et quelques propriétés générales du cgroup. Tâches (threads) versus processus Dans cgroups version 1, une distinction est faite entre les processus et les tâches. De ce fait, un processus peut consister en plusieurs tâches (plus couramment appelées threads, du point de vue espace utilisateur, et appelées ainsi dans la suite de cette page de manuel). Dans cgroups version 1, il est possible de manipuler indépendamment l’appartenance de cgroup des threads d’un processus. La capacité de cgroups version 1 de répartir les threads dans des cgroups différents cause des problèmes dans certains cas. Par exemple, cela n’a aucun sens pour le contrôleur de mémoire, puisque tous les threads d’un processus partagent un même espace d’adressage. À cause de cela, la capacité de manipuler indépendamment l’appartenance de cgroup des threads dans un processus a été retirée dans l’implémentation initiale de cgroups version 2, et ultérieurement restaurée dans une forme plus limitée (voir l’explication sur le « mode threads » ci-après). Montage de contrôleurs version 1 L’utilisation de cgroups requiert un noyau construit avec l’option CONFIG_CGROUP. De plus, chaque contrôleur version 1 possède une option de configuration associée qui doit être définie pour utiliser ce contrôleur. Pour utiliser un contrôleur version 1, il doit être monté pour un système de fichiers de cgroup. L’emplacement habituel de tels montages est sous le système de fichiers tmpfs(5) monté dans /sys/fs/cgroup. Par conséquent, un montage du contrôleur cpu peut être réalisé ainsi : mount -t cgroup -o cpu none /sys/fs/cgroup/cpu Il est possible de co-monter plusieurs contrôleurs pour la même hiérarchie. Ici par exemple, les contrôleurs cpu et cpuacct sont co-montés pour une même hiérarchie : mount -t cgroup -o cpu,cpuacct none /sys/fs/cgroup/cpu,cpuacct Le co-montage de contrôleurs fait qu’un processus est dans le même cgroup pour tous les contrôleurs co-montés. Séparer le montage de contrôleurs permet à un processus d’être dans le cgroup /toto1 pour un contrôleur tout en étant dans /toto2/toto3 pour un autre. Il est possible de co-monter tous les contrôleurs version 1 pour la même hiérarchie : mount -t cgroup -o all cgroup /sys/fs/cgroup (Le même résultat peut être obtenu en omettant -o all, puisque c’est le comportement par défaut si aucun contrôleur n’est explicitement précisé.) Il n’est pas possible de monter le même contrôleur pour plusieurs hiérarchies de cgroup. Par exemple, il n’est pas possible de monter à la fois les contrôleurs cpu et cpuacct pour une même hiérarchie et de monter le contrôleur cpu seul pour une autre hiérarchie. Il est possible de créer plusieurs montages avec exactement le même ensemble de contrôleurs co-montés. Dans ce cas cependant, tout cela aboutit à ce que plusieurs points de montage fournissent une vue de la même hiérarchie. Remarquez que sur de nombreux systèmes, les contrôleurs version 1 sont automatiquement montés sous /sys/fs/cgroup. En particulier, systemd(1) crée automatiquement de tels montages. Démontage des contrôleurs version 1 Un système de fichiers cgroup monté peut être démonté en utilisant la commande umount(8) comme dans l’exemple suivant : umount /sys/fs/cgroup/pids Bien remarquer qu’un système de fichiers de cgroup est démonté seulement s’il n’est pas en cours d’utilisation, c’est-à-dire qu’il n’a pas de cgroups enfants. Si ce n’est pas le cas, le seul effet de umount(8) est de rendre le montage invisible. Par conséquent, pour être sûr que le montage est réellement retiré, les cgroups enfants doivent d’abord être retirés, ce qui à son tour ne peut être fait qu'après que tous les processus membres ont été déplacés de ces cgroups vers le cgroup racine. Contrôleurs de cgroups version 1 Chacun de ces contrôleurs de cgroups version 1 est régi par une option de configuration du noyau (liste ci-après). De plus, la disponibilité de la fonctionnalité des cgroups est régie par l’option de configuration CONFIG_CGROUPS du noyau. cpu (depuis Linux 2.6.24 ; CONFIG_CGROUP_SCHED) Un nombre minimal de « partages de CPU » peut être garanti quand un système est actif. Cela ne limite pas l'utilisation de CPU par un cgroup si les CPU ne sont pas actifs. Pour plus d’informations, consultez Documentation/scheduler/sched-design-CFS.rst (ou Documentation/scheduler/sched-design-CFS.txt dans Linux 5.2 et les versions antérieures). Dans Linux 3.2, ce contrôleur a été étendu pour fournir un contrôle de la « bande passante » du CPU. Si le noyau est configuré avec CONFIG_CFS_BANDWIDTH, il est possible de définir une limite haute du temps CPU alloué aux processus d’un cgroup à chaque période de planification (définie à l’aide d’un fichier dans le répertoire de cgroup). La limite haute s’applique même s’il n’existe aucune compétition pour le CPU. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/scheduler/sched-bwc.rst (ou Documentation/scheduler/sched-bwc.txt dans Linux 5.2 et les versions antérieures). cpuacct (depuis 2.6.24 ; CONFIG_CGROUP_CPUACCT) Ce contrôleur fournit la comptabilisation de l’utilisation du CPU par des groupes de processus. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/cpuacct.rst (ou Documentation/cgroup-v1/cpuacct.txt dans Linux 5.2 et les versions antérieures). cpuset (depuis Linux 2.6.24 ; CONFIG_CPUSETS) Ce cgroup peut être utilisé pour lier les processus dans un cgroup à un ensemble spécifié de CPU ou de nœuds NUMA. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/cpusets.rst (ou Documentation/cgroup-v1/cpusets.txt dans Linux 5.2 et les versions précédentes). memory (depuis Linux 2.6.25 ; CONFIG_MEMCG) Le contrôleur de mémoire prend en charge le rapport et la limitation de la mémoire du processus, de la mémoire du noyau et de la partition d’échange utilisées par les cgroups. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/memory.rst (ou Documentation/cgroup-v1/memory.txt dans Linux 5.2 et les versions antérieures). devices (depuis Linux 2.6.26 ; CONFIG_CGROUP_DEVICE) Ce contrôleur prend en charge la définition des processus qui pourront créer (mknod) des périphériques et les ouvrir en lecture ou écriture. Les politiques peuvent être précisées dans des listes d’autorisations ou de refus. La hiérarchie est imposée, aussi des règles nouvelles ne doivent pas violer les règles existantes pour la cible ou pour des cgroups ancêtres. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/devices.rst (ou Documentation/cgroup-v1/devices.txt dans Linux 5.2 et les versions antérieures). freezer (depuis Linux 2.6.28 ; CONFIG_CGROUP_FREEZER) Le cgroup freezer peut suspendre ou restaurer (reprendre) tous les processus d’un cgroup. Geler un cgroup /A fait que ses enfants, par exemple les processus dans /A/B, sont gelés. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/freezer-subsystem.rst (ou Documentation/cgroup-v1/freezer-subsystem.txt dans Linux 5.2 et les versions antérieures). net_cls (depuis Linux 2.6.29 ; CONFIG_CGROUP_NET_CLASSID) Ce contrôleur place un identificateur de classe (classid), précisé pour le cgroup, sur des paquets réseau créés par un cgroup. Ces identificateurs peuvent être utilisés dans des règles de pare-feu, ainsi que pour canaliser le trafic en utilisant tc(8). Cela s’applique aux paquets quittant le cgroup, pas au trafic y arrivant. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/net_cls.rst (ou Documentation/cgroup-v1/net_cls.txt dans Linux 5.2 et les versions antérieures). blkio (depuis Linux 2.6.33 ; CONFIG_BLK_CGROUP) Le cgroup blkio contrôle et limite l’accès aux périphériques en mode bloc indiqués en appliquant un contrôle d’E/S sous forme de restrictions et de limites d’accès à l’encontre de nœuds feuilles et de nœuds intermédiaires dans la hiérarchie de stockage. Deux politiques sont possibles. La première est une division du disque proportionnelle au poids basée sur la durée et implémentée avec CFQ (Completely Fair Queuing — file d'attente complètement équitable). C’est le cas pour les nœuds feuilles utilisant CFQ. La seconde est une politique d’étranglement qui précise les limites supérieures de taux d’E/S sur un périphérique. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/blkio-controller.rst (ou Documentation/cgroup-v1/blkio-controller.txt dans Linux 5.2 et les versions antérieures). perf_event (depuis Linux 2.6.39 ; CONFIG_CGROUP_PERF) Ce contrôleur permet à perf de superviser l’ensemble des processus groupés dans un cgroup. Plus d’informations sont disponibles dans le fichier des sources du noyau. net_prio (depuis Linux 3.3 ; CONFIG_CGROUP_NET_PRIO) Ce contrôleur permet de définir des priorités par interface réseau pour les cgroups. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/net_prio.rst (ou Documentation/cgroup-v1/net_prio.txt dans Linux 5.2 et les versions antérieures). hugetlb (depuis Linux 3.5 ; CONFIG_CGROUP_HUGETLB) Ce contrôleur prend en charge la limitation de l’utilisation de très grandes pages par les cgroups. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/hugetlb.rst (ou Documentation/cgroup-v1/hugetlb.txt dans Linux 5.2 et les versions antérieures). pids (depuis Linux 4.3 ; CONFIG_CGROUP_PIDS) Ce contrôleur permet de limiter le nombre de processus pouvant être créés dans un cgroup (et ses descendants). Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/pids.rst (ou Documentation/cgroup-v1/pids.txt dans Linux 5.2 et les versions antérieures). rdma (depuis Linux 4.11 ; CONFIG_CGROUP_RDMA) Le contrôleur RDMA permet de limiter l’utilisation de ressources spécifiques à RDMA/IB. Plus d’informations sont disponibles dans le fichier des sources du noyau Documentation/admin-guide/cgroup-v1/rdma.rst (ou Documentation/cgroup-v1/rdma.txt dans Linux 5.2 et les versions antérieures). Création de cgroups et déplacement de processus Un système de fichiers de cgroup contient initialement un seul cgroup racine, « / », auquel tous les processus appartiennent. Un nouveau cgroup est créé en créant un répertoire dans le système de fichiers de cgroup : mkdir /sys/fs/cgroup/cpu/cg1 Cette commande crée un nouveau cgroup vide. Un processus peut être transféré dans ce cgroup en écrivant son PID dans le fichier cgroup.procs du cgroup : echo $$ > /sys/fs/cgroup/cpu/cg1/cgroup.procs Un seul PID à la fois peut être écrit dans ce fichier. Écrire la valeur 0 dans un fichier cgroup.procs fait que le processus écrivain est transféré dans le cgroup correspondant. Quand un PID est écrit dans le fichier cgroup.procs, tous les threads du processus sont transférés ensemble dans le nouveau cgroup. Dans une hiérarchie, un processus peut être membre d'un et un seul cgroup. Écrire un PID de processus dans un fichier cgroup.procs le retire automatiquement du cgroup auquel il appartenait précédemment. Le fichier cgroup.procs peut être lu pour obtenir une liste des processus qui sont membres d’un cgroup. L'absence de doublons dans la liste renvoyée des PID n’est pas garantie et cette dernière ne sera pas forcément triée. Par exemple, un PID peut être recyclé pendant la lecture de la liste. Dans cgroups version 1, un thread individuel peut être transféré dans un autre cgroup en écrivant son ID de thread (c’est-à-dire l’ID de thread du noyau renvoyé par clone(2) et gettid(2)) dans le fichier tasks d'un répertoire de cgroup. Ce fichier peut être lu pour découvrir l’ensemble des threads membres du cgroup. Suppression de cgroups Pour supprimer un cgroup, il doit tout d’abord n’avoir aucun cgroup enfant et ne contenir aucun processus (non zombie). Tant que c’est le cas, on peut simplement supprimer le nom de chemin de répertoire correspondant. Remarquez que les fichiers dans le répertoire de cgroup ne peuvent et n’ont pas besoin d’être supprimés. Notification de publication de cgroups version 1 Deux fichiers peuvent être utilisés pour déterminer si le noyau fournit des notifications quand un cgroup devient vide. Un cgroup est considéré comme vide quand il ne contient ni cgroup enfant, ni processus membre. Un fichier spécial dans le répertoire racine de chaque hiérarchie de cgroup, release_agent, peut être utilisé pour enregistrer le nom de chemin d’un programme pouvant être invoqué quand un cgroup dans la hiérarchie devient vide. Le nom de chemin du cgroup nouvellement vide (relatif au point de montage du cgroup) est fourni comme seul argument de ligne de commande quand le programme release_agent est invoqué. Le programme release_agent pourrait supprimer le répertoire du cgroup ou, peut être, le repeupler avec un processus. Par défaut, le fichier release_agent est vide, signifiant qu’aucun agent de publication n’est invoqué. Le contenu du fichier release_agent peut être spécifié à l’aide d’une option de montage quand le système de fichiers de cgroup est monté : mount -o release_agent=pathname ... Que le programme release_agent soit invoqué ou pas quand un cgroup particulier devient vide est déterminé par la valeur inscrite dans le fichier notify_on_release dans le répertoire de cgroup correspondant. Si ce fichier contient la valeur 0, alors le programme release_agent n’est pas invoqué. Si cette valeur est 1, le programme release_agent est invoqué. La valeur par défaut inscrite dans ce fichier dans le cgroup racine est 0. Au moment de la création d’un nouveau cgroup, la valeur dans ce fichier est héritée du fichier correspondant dans le cgroup parent. Hiérarchies nommées de cgroups version 1 Dans cgroups version 1, il est possible de monter une hiérarchie de cgroup qui n’a pas de contrôleurs attachés. mount -t cgroup -o none,name=un_nom none /un/point/de/montage Plusieurs instances de telles hiérarchies peuvent être montées, chaque hiérarchie devant avoir un nom unique. Le seul but de telles hiérarchies est de suivre les processus (consultez les explications de notification de publication ci-dessous). La hiérarchie de cgroup name=systemd qui est utilisée par systemd(1) pour suivre les services et les sessions d’utilisateur en est un exemple. Depuis Linux 5.0, l’option d’amorçage cgroup_no_v1 du noyau (décrite ci-après) peut être utilisée pour désactiver les hiérarchies nommées de cgroups version 1, en spécifiant cgroup_no_v1=named.
CGROUPS VERSION 2
Dans cgroups version 2, tous les contrôleurs montés résident dans une seule hiérarchie unifiée. Alors que des contrôleurs (différents) peuvent être montés simultanément dans des hiérarchies version 1 ou 2, il n’est pas possible de monter le même contrôleur simultanément dans les deux hiérarchies version 1 et version 2. Les nouveaux comportements dans cgroups version 2 sont résumés ici et, dans quelques cas, développés dans les sous-sections suivantes. - Les cgroups version 2 fournissent une hiérarchie unifiée pour laquelle tous les contrôleurs sont montés. - Les processus « internes » ne sont pas autorisés. À l’exception du cgroup racine, les processus ne peuvent résider que dans les nœuds feuilles (les cgroups qui ne contiennent pas eux-mêmes de cgroups enfants). Les détails sont un peu plus subtils que ça et sont décrits ci-après. - Les cgroups actifs doivent être indiqués à l’aide des fichiers cgroup.controllers et cgroup.subtree_control. - Le fichier tasks et le fichier cgroup.clone_children qui est utilisé par le contrôleur cpuset ont été supprimés. - Un mécanisme amélioré pour la notification de cgroups vides est fourni par le fichier cgroup.events. Pour plus de détails sur les modifications, consultez le fichier Documentation/admin-guide/cgroup-v2.rst dans les sources du noyau (ou Documentation/cgroup-v2.txt dans Linux 4.17 et les versions antérieures). Certains de ces nouveaux comportements intègrent une modification avec l’ajout dans Linux 4.14 du « mode thread » (décrit ci-après). Hiérarchie unifiée de cgroups version 2 Dans les cgroups version 1, la possibilité de monter différents contrôleurs pour différentes hiérarchies était voulue pour permettre une grande flexibilité dans la conception des applications. En pratique, la flexibilité s’est avérée moins utile qu’espérée et, dans de nombreux de cas, a ajouté de la complexité. Par conséquent, dans cgroups version 2, tous les contrôleurs disponibles sont montés pour une seule hiérarchie. Les contrôleurs disponibles sont automatiquement montés, ce qui signifie qu’il n’est pas nécessaire (ou possible) d’indiquer les contrôleurs lors du montage d’un système de fichiers cgroups version 2 en utilisant une commande telle que la suivante : mount -t cgroup2 none /mnt/cgroup2 Un contrôleur cgroups version 2 est disponible seulement s’il n’est pas en cours d’utilisation à l’aide d’un montage pour une hiérarchie de cgroups version 1. Ou, pour dire les choses autrement, il n’est pas possible d’employer le même contrôleur pour les deux hiérarchies version 1 et version 2 unifiée. Cela signifie qu’il peut être nécessaire d’abord de démonter un contrôleur version 1 (comme décrit ci-dessus) avant que ce contrôleur soit disponible en version 2. Puisque systemd(1) utilise abondamment quelques contrôleurs version 1 par défaut, il peut dans certains cas être plus simple d’amorcer le système avec ces contrôleurs version 1 désactivés. Pour ce faire, spécifier l’option cgroup_no_v1=list sur la ligne de commande d’amorçage du noyau. list est une liste de noms séparés par des virgules des contrôleurs à désactiver ou le mot all pour désactiver tous les contrôleurs version 1. Cette situation est gérée correctement par systemd(1), ce qui revient à un amorçage sans ces contrôleurs. Remarquez que sur de nombreux systèmes modernes, systemd(1) monte automatiquement le système de fichiers cgroup2 dans /sys/fs/cgroup/unified lors du processus d’amorçage. Options de montage pour cgroups version 2 Les options suivantes (mount -o) peuvent être spécifiées lors du montage de systèmes de fichiers de groupe version 2 : nsdelegate (depuis Linux 4.15) Traitement des espaces de noms cgroup comme des limites de délégation. Pour plus de détails, voir ci-dessous. memory_localevents (depuis Linux 5.2) memory.events devrait afficher des statistiques seulement pour le cgroup lui-même, pas pour les cgroups descendants. C’était le comportement avant Linux 5.2. Depuis Linux 5.2, le comportement par défaut consiste à inclure des statistiques pour les cgroups descendants dans memory.events et cette option de montage peut être utilisée pour revenir au comportement traditionnel. Cette option s’applique au système entier et peut être définie au moment du montage ou modifiée à travers un remontage seulement à partir de l’espace de noms montage initial. Elle est silencieusement ignorée dans les espaces de noms non initiaux. Contrôleurs de cgroups version 2 Les contrôleurs suivants, documentés dans le fichier source du noyau Documentation/admin-guide/cgroup-v2.rst (ou Documentation/cgroup-v2.txt dans Linux 4.17 et les versions antérieures) sont pris en charge dans cgroups version 2 : cpu (depuis Linux 4.15) C’est le successeur des contrôleurs version 1 cpu et cpuacct. cpuset (depuis Linux 5.0) C’est le successeur du contrôleur version 1 cpuset. freezer (depuis Linux 5.2) C’est le successeur du contrôleur version 1 freezer. hugetlb (depuis Linux 5.6) C’est le successeur du contrôleur version 1 hugetlb. io (depuis Linux 4.5) C’est le successeur du contrôleur version 1 blkio. memory (depuis Linux 4.5) C’est le successeur du contrôleur version 1 memory. perf_event (depuis Linux 4.11) Identique au contrôleur version 1 perf_event. pids (depuis Linux 4.5) Identique au contrôleur version 1 pids. rdma (depuis Linux 4.11) Identique au contrôleur version 1 rdma. Il n’existe pas d’équivalent direct des contrôleurs net_cls et net_prio de cgroups version 1. À la place, une prise en charge a été ajoutée à iptables(8) pour permettre aux filtres eBPF qui s’attachent aux noms de chemin de cgroups version 2 de prendre des décisions à partir du trafic réseau selon le cgroup. Les contrôleurs version 2 devices ne fournissent pas de fichiers d’interface. À la place, le contrôle de périphérique est sécurisé en attachant un programme eBPF (BPF_CGROUP_DEVICE) à un cgroup version 2. Contrôle de sous-arbres de cgroups version 2 Chaque cgroup dans une hiérarchie version 2 contient les deux fichiers suivants : cgroup.controllers Ce fichier en lecture seule contient une liste des contrôleurs qui sont disponibles dans ce cgroup. Le contenu de ce fichier correspond au contenu du fichier cgroup.subtree_control dans le cgroup parent. cgroup.subtree_control Ce fichier contient une liste de contrôleurs qui sont actifs (permis) dans le cgroup. L’ensemble des contrôleurs dans ce fichier est un sous-ensemble de l’ensemble cgroup.controllers de ce cgroup. L’ensemble des contrôleurs actifs est modifié en écrivant des chaînes dans ce fichier contenant des noms de contrôleurs séparés par des espaces, chacun étant précédé par un « + » (pour autoriser le contrôleur) ou un « - » (pour interdire le contrôleur), comme dans l’exemple suivant : echo '+pids -memory' > x/y/cgroup.subtree_control Un essai pour autoriser un contrôleur qui n’est pas présent dans cgroup.controllers provoque une erreur ENOENT lors d’une écriture dans le fichier cgroup.subtree_control. Parce que la liste de contrôleurs dans cgroup.subtree_control est un sous-ensemble de ces cgroup.controllers, un contrôleur qui n’est plus autorisé dans un cgroup de la hiérarchie ne peut jamais être réautorisé dans un sous-arbre de ce cgroup. Un fichier cgroup.subtree_control de cgroup détermine l’ensemble des contrôleurs qui sont activés dans les cgroups enfants. Quand un contrôleur (par exemple, pids) est présent dans le fichier cgroup.subtree_control d’un cgroup parent, les fichiers correspondants interface-contrôleur (par exemple, pids.max) sont automatiquement créés dans l’enfant de ce cgroup et peuvent être utilisés pour exercer le contrôle des ressources dans les cgroups enfants. Règle « pas de processus internes » pour cgroups version 2 Cgroups version 2 applique une règle appelée « pas de processus internes ». En gros, cette règle veut dire que, à l’exception du cgroup racine, les processus ne peuvent résider que dans les nœuds feuilles (des cgroups ne contenant pas eux-mêmes de cgroup enfant). Cela évite d'avoir à décider comment partager les ressources entre les processus qui sont membres du cgroup A et les processus dans des cgroups enfants de A. Par exemple, si le cgroup /cg1/cg2 existe, un processus peut résider dans /cg1/cg2, mais pas dans /cg1. Cela permet d'éviter une ambiguïté dans cgroups version 1 par rapport à la délégation de ressources entre les processus dans /cg1 et les cgroups enfants. L’approche recommandée dans cgroups version 2 consiste à créer un sous-répertoire appelé feuille pour n’importe quel cgroup non feuille qui contiendrait des processus mais pas de cgroup enfant. Ainsi, les processus qui auparavant seraient allés dans /cg1 iraient maintenant dans /cg1/feuille. Cela a l’avantage de rendre explicite la relation entre les processus dans /cg1/feuille et les autres enfants de /cg1. La règle « pas de processus internes » est en fait plus subtile que ce qui est décrit ci-dessus. Plus précisément, la règle stipule qu’un cgroup (non racine) ne peut pas à la fois avoir des processus membres et distribuer des ressources aux cgroups enfants — c’est-à-dire avoir un fichier cgroup.subtree_control non vide. Par conséquent, il est possible pour un cgroup d’avoir à la fois des processus membres et des cgroups enfants, mais pour que les contrôleurs puissent être autorisés pour ce cgroup, les processus membres doivent être déplacés en dehors du cgroup (par exemple, dans les cgroups enfants). Avec l’addition dans Linux 4.14 du « mode thread » (décrit ci-après), la règle « pas de processus internes » a été assouplie dans certains cas. Fichier cgroup.events de cgroups version 2 Chaque cgroup non racine dans la hiérarchie version 2 contient un fichier en lecture seule, cgroup.events, dont le contenu consiste en paires clé-valeur (délimitées par des caractères de nouvelle ligne, avec les clés et valeurs séparées par des espaces) fournissant des informations d’état sur le cgroup : $ cat mygrp/cgroup.events populated 1 frozen 0 Les clés suivantes peuvent apparaître dans ce fichier : populated La valeur de cette clé est soit 1 si ce cgroup ou n’importe lequel de ses descendants a des processus membres, soit 0 dans le cas contraire. frozen (depuis Linux 5.2) La valeur de cette clé est 1 si ce cgroup est actuellement gelé ou 0 s’il ne l’est pas. Le fichier cgroup.events peut être surveillé dans le but de recevoir des notifications quand la valeur d’une des clés change. Cette surveillance peut être réalisée en utilisant inotify(7), qui notifie les changements tels que les évènements IN_MODIFY ou poll(2) qui notifie les changements en renvoyant les bits POLLPRI et POLLERR dans le champ revents. Notification de libération de cgroups version 2 Les cgroups version 2 fournissent un nouveau mécanisme pour recevoir des notifications lorsqu’un cgroup devient vide. Les fichiers cgroups version 1 release_agent et notify_on_release sont supprimés et remplacés par la clé populated dans le fichier cgroup.events. Cette clé a soit la valeur 0, signifiant que le cgroup (et ses descendants) ne contient aucun processus membre (non zombie), ou 1, signifiant que le cgroup (ou un de ses descendants) contient des processus membres. Le mécanisme de notification de libération de cgroups version 2 offre les avantages suivants par rapport au mécanisme release_agent de cgroups version 1 : - IL permet une notification moins coûteuse puisqu’un seul processus peut contrôler plusieurs fichiers cgroup.events (en utilisant les techniques décrites précédemment). En revanche, le mécanisme de cgroups version 1 requiert la charge de créer un processus pour chaque notification. - Les notifications pour des sous-hiérarchies différentes de cgroup peuvent être déléguées à des processus différents. En revanche, le mécanisme de cgroups version 1 permet seulement un agent de notification pour la hiérarchie complète. Fichier cgroup.stat de cgroups version 2 Chaque cgroup d’une hiérarchie version 2 contient un fichier cgroup.stat en lecture seule (introduit en premier dans Linux 4.14) qui consiste en lignes contenant des paires clé-valeur. Les clés suivantes apparaissent actuellement dans ce fichier : nr_descendants C’est le nombre total de cgroups descendants visibles (c’est-à-dire en vivants) en dessous de ce cgroup. nr_dying_descendants C’est le nombre de cgroups descendants mourants en dessous de ce cgroup. Un cgroup devient mourant après avoir été supprimé. Il reste dans cet état pour une période indéfinie (qui dépend de la charge du système) pendant que les ressources sont libérées avant que le cgroup soit détruit. Remarquez que la présence de quelques cgroups dans l’état mourant est normal et n’indique pas un quelconque problème. Un processus ne peut devenir membre d’un cgroup mourant et celui-ci ne peut redevenir actif. Limitation du nombre de cgroups descendants Chaque cgroup dans une hiérarchie version 2 contient les fichiers suivants qui peuvent être utilisés pour afficher et définir les limites du nombre de cgroups descendants dans ce cgroup : cgroup.max.depth (depuis Linux 4.14) Ce fichier définit une limite sur le niveau d’imbrication de cgroups descendants. Une valeur de 0 dans ce fichier signifie qu’aucun cgroup descendant ne peut être créé. Un essai de création dont le niveau d’imbrication excède la limite échouera (mkdir(2) échoue avec l’erreur EAGAIN). Écrire la chaîne "max" dans ce fichier signifie qu’aucune limite n’est imposée. La valeur par défaut dans ce fichier est "max". cgroup.max.descendants (depuis Linux 4.14) Ce fichier définit une limite du nombre de cgroups descendants actifs que ce cgroup peut posséder. Un essai de créer plus de descendants qu’autorisés par la limite échoue (mkdir(2) échoue avec l’erreur EAGAIN). Écrire la chaîne "max" dans ce fichier signifie qu’aucune limite n’est imposée. La valeur par défaut dans ce fichier est "max".
DÉLÉGATION DE CGROUPS À UN UTILISATEUR AVEC DES PRIVILÈGES MOINDRES
Dans le contexte de cgroups, déléguer signifie transmettre la gestion d'un sous-arbre de la hiérarchie de cgroup à un utilisateur non privilégié. Cgroups version 1 fournit une prise en charge de la délégation basée sur les permissions de fichier dans la hiérarchie de cgroup, mais avec des règles de confinement moins strictes que dans la version 2 (comme signalé ci-dessous). Cgroups version 2 gère la délégation avec confinement selon un modèle explicite. L’explication dans cette section se concentre sur la délégation dans cgroups version 2, avec quelques différences pour cgroups version 1 signalées au fur et à mesure. Un peu de terminologie est nécessaire pour expliquer la délégation. Un délégant est un utilisateur privilégié (c’est-à-dire le superutilisateur) qui possède un cgroup parent. Un délégué est un utilisateur non privilégié à qui sont accordées les permissions nécessaires pour gérer une sous-hiérarchie sous le cgroup parent, connue comme le sous-arbre délégué. Pour réaliser la délégation, le délégant autorise l'écriture par le délégué sur certains répertoires et fichiers, typiquement en transférant la propriété des objets à l’ID utilisateur du délégué. En supposant une délégation de hiérarchie de racine (par exemple) /dlgt_grp et qu’il n’y a pas encore de cgroup enfant sous ce cgroup, la propriété de ce qui suit est transférée à l’ID utilisateur du délégué : /dlgt_grp Modifier le propriétaire de la racine d’un sous-arbre signifie que n’importe quel cgroup nouvellement créé dans ce sous-arbre (et les fichiers qu’il contient) sera aussi la propriété du délégué. /dlgt_grp/cgroup.procs Modifier le propriétaire de ce fichier signifie que le délégué peut déplacer les processus dans la racine du sous-arbre délégué. /dlgt_grp/cgroup.subtree_control (cgroups version 2 seulement) Modifier le propriétaire de ce fichier signifie que le délégué peut activer des contrôleurs (qui sont présents dans /dlgt_grp/cgroup.controllers) dans le but d’une redistribution postérieure des ressources à des niveaux inférieurs du sous-arbre. Comme alternative au changement de propriétaire de ce fichier, le délégant pourrait à la place ajouter les contrôleurs sélectionnés dans ce fichier. /dlgt_grp/cgroup.threads (cgroups version 2 seulement) Modifier le propriétaire de ce fichier est nécessaire si un sous-arbre threaded est sous le coup d’une délégation (consultez la description du « mode thread » ci-dessous). Cela permet au délégué d’écrire des ID de thread dans ce fichier. Le propriétaire de ce fichier peut être aussi changé lors de la délégation d’un sous-arbre de domaine, mais actuellement cela ne sert à rien puisque, comme décrit ci-dessous, il n’est pas possible de déplacer un thread entre des cgroups de domaine en inscrivant son ID de thread dans le fichier cgroup.threads. Pour les cgroups version 1, le fichier correspondant qui doit être délégué est le fichier tasks. Le délégant ne doit pas changer le propriétaire de n’importe quel fichier d’interface de contrôleur (par exemple, pids.max, memory.high) dans dlgt_grp. Ces fichiers sont utilisés au niveau juste au-dessus du sous-arbre délégué dans le but de distribuer les ressources dans le sous-arbre, et le délégant ne doit pas avoir la permission de modifier les ressources qui sont distribuées dans le sous-arbre délégué. Consultez aussi l’explication dans le fichier /sys/kernel/cgroup/delegate dans NOTES pour des informations sur les autres fichiers délégables dans cgroups version 2. Après que les étapes précitées aient été réalisées, le délégué peut créer des cgroups enfants dans le sous-arbre délégué (les sous-répertoires et les fichiers de cgroup qu’ils contiennent seront la propriété du délégué) et déplacer des processus entre des cgroups dans le sous-arbre. Si quelques contrôleurs sont présents dans dlgt_grp/cgroup.subtree_control, ou si la propriété de ce fichier a été transférée au délégué, celui-ci peut aussi contrôler une prochaine redistribution des ressources correspondantes dans le sous-arbre délégué. Délégation de cgroups version 2 : nsdelegate et espace de noms cgroup Depuis Linux 4.13, une seconde manière existe pour réaliser une délégation de cgroup dans une hiérarchie de cgroups version 2. Cela est fait en montant ou remontant le système de fichiers de cgroups version 2 avec l’option de montage nsdelegate. Par exemple, si un système de fichiers de cgroups version 2 a déjà été monté, il est possible de le remonter avec l’option nsdelegate comme suit : mount -t cgroup2 -o remount,nsdelegate \ none /sys/fs/cgroup/unified L’effet de cette option de montage est que l’espace de noms cgroup deviennent automatiquement les limites de délégation. Plus particulièrement, les restrictions suivantes s’appliquent pour les processus à l’intérieur de l’espace de noms cgroup : - Inscrire les fichiers des interfaces de contrôleur dans le répertoire racine de l’espace de noms échouera avec l’erreur EPERM. Les processus à l’intérieur de l’espace de noms cgroup peuvent toujours écrire dans les fichiers délégables dans le répertoire racine de l’espace de noms cgroup tels que cgroup.procs et cgroup.subtree_control, et peuvent créer des sous-hiérarchies au-dessous du répertoire racine. - Les essais de migrer des processus à travers des limites d’espace de noms sont interdits (avec l’erreur ENOENT). Les processus à l’intérieur d’un espace de noms cgroup peuvent toujours (soumis aux règles de confinement décrites ci-après) déplacer des processus entre cgroups à l’intérieur de la sous-hiérarchie sous l’espace de noms racine. La possibilité de définir des espaces de noms cgroup comme des limites de délégation rend les espaces de noms cgroup beaucoup plus utiles. Pour en comprendre la raison, supposons qu’il existe déjà une hiérarchie de cgroup qui a été déléguée à un utilisateur non privilégié, cecilia, en utilisant la technique ancienne de délégation décrite ci-dessus. Supposons que plus tard cecilia veuille déléguer une sous-hiérarchie sous la hiérarchie déléguée existante (par exemple, la hiérarchie déléguée peut être associée avec un conteneur non privilégié exécuté par cecilia). Même si un espace de noms cgroup était employé, parce que les deux hiérarchies sont la propriété de l’utilisateur cecilia non privilégié, les actions illégitimes suivantes pourraient être réalisées : - Un processus dans la hiérarchie inférieure pourrait modifier les réglages du contrôleur de ressources dans le répertoire racine de cette hiérarchie (ces réglages sont conçus pour permettre le contrôle à exercer à partir du cgroup parent ; un processus dans le cgroup enfant ne devrait pas pouvoir les modifier) ; - un processus à l’intérieur de hiérarchie subalterne pourrait déplacer des processus dans ou en dehors de la hiérarchie inférieure si les cgroups dans la hiérarchie supérieure étaient de quelque façon visibles. L’utilisation de l’option de montage nsdelegate empêche les deux possibilités. L’option de montage nsdelegate a seulement un effet lorsque elle est utilisée dans l’espace de noms initial montage, dans d’autres espaces de noms montage cette option est ignorée silencieusement. Remarque : sur certains systèmes, systemd(1) monte automatiquement le système de fichiers de cgroup version 2. Dans le but de tester l’opération nsdelegate, il peut être utile d’amorcer le noyau avec les options de ligne de commande suivantes : cgroup_no_v1=all systemd.legacy_systemd_cgroup_controller Ces options font que le noyau amorce avec les contrôleurs cgroups version 1 désactivés (signifiant que les contrôleurs sont disponibles dans une hiérarchie version 2) et indique à systemd(1) de ne pas monter et utiliser la hiérarchie de cgroup version 2, de façon que la hiérarchie version 2 puisse être montée manuellement avec les options désirées après l’amorçage. Règles de confinement de délégation de cgroup Certaines règles de confinement de délégation assurent que le délégué peut déplacer des processus entre des cgroups à l’intérieur du sous-arbre délégué, mais ne puisse pas déplacer les processus de l’extérieur du sous-arbre délégué dans le sous-arbre ou vice versa. Un processus non privilégié (c’est-à-dire le délégué) peut écrire le PID d’un processus « cible » dans un fichier cgroup.procs seulement si toutes les conditions suivantes sont remplies : - l’écrivain a la permission d’écriture dans le fichier cgroup.procs du cgroup de destination ; - l’écrivain a la permission d’écrire dans le fichier cgroup.procs dans le plus proche ancêtre commun des cgroups source et de destination. Remarquez que dans certains cas, ce plus proche ancêtre commun peut être le cgroup source ou celui de destination eux-mêmes. Ce besoin n’est pas imposé pour les hiérarchies version 1, avec pour conséquence que le confinement dans la version 1 est moins strict que dans la version 2 (par exemple, dans cgroups version 1 l’utilisateur possédant deux sous-hiérarchies déléguées distinctes peut déplacer un processus entre les hiérarchies) ; - si le système de fichiers d’un cgroup version 2 a été monté avec l’option nsdelegate, l’écrivain doit être capable de voir les cgroups source et destination à partir de son espace de noms cgroup ; - Dans cgroups version 1, l’UID effectif de l’écrivain (c’est-à-dire le délégué) correspond à l’ID réel utilisateur ou au set-user-ID enregistré du processus cible. Avant Linux 4.11, cette exigence s’appliquait aussi dans cgroups version 2 (c’était une exigence historique héritée de cgroups version 1 qui a été plus tard estimée non nécessaire, puisque les autres règles suffisent pour le confinement dans cgroups version 2). Remarque : une conséquence des ces règles de confinement de délégation est que le délégué non privilégié ne peut placer le premier processus dans le sous-arbre délégué. À la place, le délégant doit placer le premier processus (un processus possédé par le délégué) dans le sous-arbre délégué.
MODE THREAD DE CGROUPS VERSION 2
Parmi les restrictions imposées par cgroups version 2 qui n’étaient pas présentes dans cgroups version 1 : - pas contrôle de granularité au niveau thread : tous les threads d’un processus doivent être dans le même cgroup ; - pas de processus internes : un cgroup ne peut à la fois avoir des processus membres et mettre en œuvre des contrôleurs sur des cgroups enfants. Ces deux restrictions ont été ajoutées parce que l’absence de ces restrictions a causé des problèmes dans cgroups version 1. En particulier, la possibilité de cgroups version 1 de permettre une granularité au niveau threads pour l’appartenance à un cgroup n’avait aucun sens pour certains contrôleurs. Un exemple notable était le contrôleur memory : puisque les threads partagent un espace d’adressage, cela n’avait aucun sens de répartir les threads à travers des cgroups memory différents. Malgré le fait de la décision initiale de conception de cgroups version 2, des cas d’utilisation existaient pour certains contrôleurs, notablement le contrôleur cpu, pour lesquels la granularité au niveau thread du contrôle était justifiée et utile. Pour tenir compte de tels cas, Linux 4.14 a ajouté le mode thread pour cgroups version 2. Le mode thread permet les choses suivantes : - la création de sous-arbres threaded dans lesquels les threads d’un processus peuvent être répartis à travers des cgroups à l’intérieur de l’arbre (un sous-arbre threaded peut contenir plusieurs processus multithreads) ; - le concept de contrôleurs threaded qui peuvent distribuer des ressources à travers les cgroups dans un sous-arbre threaded ; - un relâchement de la règle « pas de processus internes », de façon à ce que, à l’intérieur d’un sous-arbre threaded, un cgroup puisse à la fois avoir des processus membres et mettre en œuvre des contrôleurs de ressources de cgroups enfants. Avec l’ajout du mode thread, chaque cgroup non racine contient désormais un nouveau fichier, cgroup.type, qui expose, et dans certaines circonstances qui peut être utilisé pour modifier, le « type » d’un cgroup. Ce fichier contient une des valeurs de type suivantes : domain C’est un cgroup version 2 normal fournissant un contrôle de niveau de granularité processus. Si un processus est membre de ce cgroup, alors tous les threads de ce processus sont (par définition) dans le même cgroup. C’est le type par défaut de cgroup et il fournit le même comportement qui était fourni pour les cgroups dans l’implémentation initiale de cgroups version 2. threaded Ce cgroup est un membre d’un sous-arbre threaded. Des threads peuvent être ajoutés à ce cgroup et des contrôleurs peuvent être activés pour le cgroup. domain threaded C’est un cgroup domain qui sert de racine à un sous-arbre threaded. Ce type de cgroup est aussi connu comme « threaded root ». domain invalid C’est un cgroup à l’intérieur d’un sous-arbre threaded qui est dans un état « invalid ». Un processus ne peut être ajouté au cgroup et un contrôleur ne peut être activé pour le cgroup. La seule chose qui puisse être faite avec ce cgroup (à part le supprimer) est de le convertir en cgroup threaded en inscrivant la chaine « threaded » dans le fichier cgroup.type. La raison de l’existence de ce type « transitoire » lors de la création d’un sous-arbre threaded (plutôt que le noyau ne convertisse simplement immédiatement tous les cgroups sous la racine threaded au type threaded) est de permettre des extensions futures au modèle de mode thread. Threaded versus contrôleurs de domaine Avec l’ajout du mode threads, cgroups version 2 distingue désormais deux types de contrôleurs de ressource : - contrôleurs Threaded : ces contrôleurs gèrent la granularité au niveau thread pour le contrôle des ressources et peuvent être activés à l’intérieur de sous-arbres threaded avec pour résultat que les fichiers de l’interface de contrôleur correspondants apparaissent dans les cgroups du sous-arbre threaded. Depuis Linux 4.19, les contrôleurs suivants sont threaded : cpu, perf_event, et pids ; - contrôleurs Domain : ces contrôleurs gèrent seulement une granularité au niveau processus pour le contrôle de ressource. Du point de vue contrôleur de domaine, tous les threads d’un processus sont toujours dans le même cgroup. Les contrôleurs de domaine ne peuvent être activés à l’intérieur d’un sous-arbre threaded. Création d’un sous-arbre threaded Il existe deux manières qui conduisent à la création de sous-arbre threaded. La première manière fonctionne comme ceci : (1) Nous écrivons La chaine « threaded » dans le fichier cgroup.type d’un cgroup y/z ayant actuellement le type domain. Cela a les effets suivants : - le type du cgroup y/z devient threaded ; - le type du cgroup parent, y, devient domain threaded. Le cgroup parent est la racine d’un sous-arbre threaded (aussi connu comme « threaded root » – racine threaded) ; - Tous les autres cgroups sous y qui n’étaient pas déjà de type threaded (parce qu’ils étaient déjà dans des sous-arbres threaded existants sous la nouvelle racine root threaded) sont convertis au type domain invalid. Tout cgroup créé après sous y aura aussi le type domain invalid. (2) Nous écrivons La chaine « threaded » pour chacun des cgroups domain invalid sous y, dans le but de les convertir au type threaded. Comme conséquence de cette étape, tous les threads sous la racine threaded ont désormais le type threaded et le sous-arbre threaded est désormais pleinement utilisable. Les conditions nécessaires pour écrire « threaded » pour chacun de ces cgroups sont quelque peu laborieuses, mais permettent de futures extensions au modèle de mode thread. La second manière de créer un sous-arbre threaded est la suivante : (1) Dans un cgroup existant, z, qui actuellement a le type domain, nous (1.1) activons un ou plusieurs contrôleurs threaded et (1.2) faisons d’un processus un membre de z (ces deux étapes pouvant être réalisées dans n’importe quel ordre). Cela a les conséquences suivantes : - le type de z devient domain threaded ; - tous les cgroups descendants de z qui n’étaient déjà de type threaded sont convertis au type domain invalid. (2) Comme auparavant, nous rendons le sous-arbre threaded utilisable en écrivant la chaine « threaded » pour chacun des cgroups domain invalid sous z, dans le but de les convertir au type threaded. Une des conséquences des manières ci-dessus de créer un sous-arbre threaded est qu’un cgroup de racine threaded peut être un parent pour seulement des cgroups threaded (et domain invalid). Le cgroup racine threaded ne peut pas être un parent d’un cgroup domain et un cgroup threaded ne peut avoir de frère qui soit un cgroup domain. Utilisation de sous-arbre threaded À l’intérieur d’un sous-arbre threaded, des contrôleurs threaded peuvent être activés dans chaque sous-groupe dont le type a été changé à threaded. Ce faisant, les fichiers de l’interface de contrôleur correspondants apparaissent dans l’enfant de ce cgroup. Un processus peut être déplacé dans un sous-arbre threaded en écrivant son PID dans le fichier cgroup.procs dans un des cgroups de l’arbre. Cela a pour effet de rendre tous les threads du processus membres du cgroup correspondant et de faire du processus un membre du sous-arbre threaded. Les threads du processus peuvent être répartis à travers le sous-arbre threaded en écrivant leurs ID de thread (voir gettid(2)) dans les fichiers cgroup.threads dans différents cgroups à l’intérieur du sous-arbre. Les threads d’un processus doivent tous résider dans le même sous-arbre threaded. Comme pour l’écriture dans cgroup.procs, quelques règles de confinement s’appliquent pour l’écriture dans le fichier cgroup.threads : - l’écrivain doit avoir la permission d’écriture dans le fichier cgroup.threads dans le cgroup de destination ; - l’écrivain doit avoir la permission d’écriture dans le fichier cgroup.procs dans l’ancêtre commun des cgroups source et destination (dans certains cas, cet ancêtre peut être le cgroup source ou destination eux-mêmes) ; - les cgroups source et destination doivent être dans le même sous-arbre threaded (en dehors d’un sous-arbre threaded, un essai de déplacer un thread en écrivant son ID de thread dans le fichier cgroup.threads dans un cgroup domain différent échoue avec l’erreur EOPNOTSUPP). Le fichier cgroup.threads est présent dans chaque cgroup (incluant les cgroups domain) et peut être lu pour découvrir l’ensemble de threads présents dans le cgroup. L’ensemble d’ID de threads obtenu lors de la lecture de ce fichier n’est pas garanti d’être ordonné ou ne pas avoir de doublons. Le fichier cgroup.procs dans la racine threaded affiche le PID de tous les processus membres du sous-arbre threaded. Les fichiers cgroup.procs dans les autres cgroups du sous-arbre ne sont pas lisibles. Les contrôleurs de domaine ne peuvent être activés dans un sous-arbre threaded. Aucun fichier d’interface de contrôleur n’apparait dans les cgroups sous la racine threaded. Du point de vue du contrôleur de domaine, les sous-arbres threaded sont invisibles : un processus multithreaded à l’intérieur d’un sous-arbre threaded apparait pour un contrôleur de domaine comme un processus qui réside dans le cgroup racine threaded. Dans un sous-arbre threaded, la règle « pas de processus internes » ne s’applique pas : un cgroup peut contenir des processus membres (ou des threads) et utiliser des contrôleurs sur des cgroups enfants. Règles pour écrire dans cgroup.type et créer des sous-arbres threaded Un certain nombre de règles s’appliquent lors de l’écriture dans le fichier cgroup.type : - seule la chaine « threaded » peut être écrite. En d’autres mots, la seule transition explicite possible est de convertir un cgroup domain au type threaded ; - l’effet d’écrire « threaded » dépend de la valeur en cours dans cgroup.type, comme suit : - domain ou domain threaded : début de la création d’un sous-arbre threaded (dont la racine est le parent de ce cgroup) à l’aide de la première des manières décrites ci-dessus, - domain invalid : conversion de ce cgroup (qui est à l’intérieur d’un sous-arbre threaded) pour être dans un état utilisable (c’est-à-dire threaded), - threaded : aucun effet (une « no-op ») ; - il n’est pas possible d’écrire dans un fichier cgroup.type si le type du parent est domain invalid. En d’autres mots, les cgroups d’un sous-arbre threaded doivent être convertis dans l’état threaded d’une manière descendante. Quelques contraintes doivent aussi être satisfaites pour créer un sous-arbre threaded dont la racine est le cgroup x : - il ne peut exister de processus membres dans les cgroups descendants de x (le cgroup_x peut lui avoir des processus membres) ; - aucun contrôleur de domaine ne peut être activé dans le fichier cgroup.subtree_control de x. Si n’importe laquelle des contraintes ci-dessus n’est pas satisfaite, alors un essai d’écrire « threaded » dans un fichier cgroup.type échouera avec l’erreur ENOTSUP. Le type « domain threaded » de cgroup Selon les chemins décrits ci-dessus, le type d’un cgroup peut changer à domain threaded dans chacun des cas suivants : - la chaine « threaded » est écrite pour un cgroup enfant ; - un contrôleur threaded est activé dans le cgroup et un processus est fait membre du cgroup. Un cgroup domain threaded, x, peut redevenir du type domain si les conditions ci-dessus ne sont plus vraies, c’est-à-dire si tous les cgroups enfants threaded de x ont été supprimés et si x n’a plus de contrôleurs threaded activés ou n’a plus de processus membres. Quand un cgroup domain threaded x redevient du type domain : - tous les descendants domain invalid de x qui ne sont pas dans des sous-arbres threaded de bas niveau redeviennent du type domain ; - les cgroups racines dans n’importe quels sous-arbres threaded de bas niveau redeviennent de type domain threaded. Exceptions pour le cgroup racine Le cgroup racine de la hiérarchie version 2 est traité exceptionnellement : il peut être le parent à la fois de cgroups domain et threaded. Si la chaine « threaded » est écrite dans le fichier cgroup.type d’un des enfants du cgroup racine, alors : - le type de ce cgroup devient threaded ; - le type de tous les descendants de ce cgroup qui ne fait pas partie de sous-arbres threaded de bas niveau change à domain invalid. Remarquez que dans ce cas, il n’y a pas de cgroup qui deviennent domain threaded (théoriquement, le cgroup racine peut être considéré comme la racine threaded pour le cgroup dont le type a été changé à threaded). Le but de ce traitement exceptionnel pour le cgroup racine est de permettre à un cgroup threaded qui emploie le contrôleur cpu d’être placé aussi haut que possible dans la hiérarchie, de façon à minimiser le (faible) coût de parcourir la hiérarchie de cgroup. Le contrôleur « cpu » de cgroups version 2 et les threads en temps réel Depuis Linux 4.19, le contrôleur cpu de cgroups version 2 ne prend pas en charge le contrôle des threads en temps réel (particulièrement les threads ordonnancés sous les politiques SCHED_FIFO, SCHED_RR, SCHED_DEADLINE ; voir sched(7)). Par conséquent, le contrôleur cpu ne peut être activé dans le cgroup racine seulement si tous les threads en temps réel sont dans le cgroup racine (si des threads en temps réel sont dans des cgroups non racines, alors une écriture write(2) de la chaine « +cpu » dans le fichier cgroup.subtree_control échoue avec l’erreur EINVAL). Dans certains systèmes, systemd(1) place certains threads en temps réel dans des cgroups non racines dans la hiérarchie version 2. Pour de tels systèmes, ces threads doivent d’abord être déplacés dans le cgroup racine avant que le contrôleur cpu ne soit activé.
ERREURS
Les erreurs suivantes peuvent survenir pour mount(2) : EBUSY Un essai de monter un système de fichiers cgroup version 1 n’indiquait ni l’option name= (pour monter une hiérarchie nommée) ni un nom de contrôleur (ou all).
NOTES
Un processus enfant créé à l’aide de fork(2) hérite des appartenances de cgroup de son parent. Les appartenances de cgroup de processus sont préservées à travers execve(2). Le drapeau CLONE_INTO_CGROUP de clone3(2) peut être utilisé pour créer un processus enfant qui débute son existence dans un cgroup version 2 différent du processus parent. Fichiers /proc /proc/cgroups (depuis Linux 2.6.24) Ce fichier contient des informations sur les contrôleurs qui sont compilés dans le noyau. Un exemple du contenu de ce fichier (reformaté pour une meilleure lisibilité) est ce qui suit : #subsys_name hierarchy num_cgroups enabled cpuset 4 1 1 cpu 8 1 1 cpuacct 8 1 1 blkio 6 1 1 memory 3 1 1 devices 10 84 1 freezer 7 1 1 net_cls 9 1 1 perf_event 5 1 1 net_prio 9 1 1 hugetlb 0 1 0 pids 2 1 1 Les champs dans ce fichier sont de gauche à droite : [1] Le nom du contrôleur. [2] L’ID unique de la hiérarchie de cgroup pour laquelle le contrôleur est monté. Si plusieurs contrôleurs de cgroups version 1 sont liés à la même hiérarchie, chacun d'entre eux affichera le même ID de hiérarchie dans ce champ. La valeur dans ce champ sera zéro si : - le contrôleur n’est pas monté pour une hiérarchie de cgroups version 1 ; - le contrôleur est lié à la seule hiérarchie unifiée de cgroups version 2 ; - le contrôleur est désactivé (voir ci-dessous). [3] Le nombre de groupes de contrôle dans cette hiérarchie utilisant ce contrôleur. [4] Ce champ contient la valeur 1 si le contrôleur est activé ou zéro s’il a été désactivé (à l’aide du paramètre cgroup_disable d’amorçage du noyau dans la ligne de commande). /proc/pid/cgroup (depuis Linux 2.6.24) Ce fichier décrit les groupes de contrôle auxquels le processus ayant le PID correspondant appartient. L’information affichée diffère pour les hiérarchies version 1 et version 2 de cgroups. Pour chaque hiérarchie de cgroup dont le processus est membre, il existe une entrée contenant trois champs séparés par des deux-points : ID_hiérarchie:liste_contrôleurs:chemin_cgroup Par exemple : 5:cpuacct,cpu,cpuset:/daemons De gauche à droite, ces trois champs séparés par des deux-points sont : [1] Pour les hiérarchies de cgroups version 1, ce champ contient un numéro d’ID unique de hiérarchie qui peut être comparé avec un ID de hiérarchie dans /proc/cgroups. Pour les hiérarchies de cgroups version 2, ce champ contient la valeur 0. [2] Pour les hiérarchies de cgroups version 1, ce champ contient une liste séparée par des virgules de contrôleurs liés à la hiérarchie. Pour les hiérarchies de cgroups version 2, ce champ est vide. [3] Ce champ contient le chemin du groupe de contrôle dans la hiérarchie à laquelle le processus appartient. Ce chemin est relatif au point de montage de la hiérarchie. Fichiers /sys/kernel/cgroup /sys/kernel/cgroup/delegate (depuis Linux 4.15) Ce fichier exporte une liste de fichiers cgroups version 2 (un par ligne) qui sont délégables (c’est-à-dire dont la propriété peut être changée à l’ID utilisateur du délégué). Dans le futur, l’ensemble des fichiers délégables peut être modifié ou grossir, et ce fichier fournit un moyen pour le noyau d’informer les applications en espace utilisateur quels fichiers doivent être délégués. Depuis Linux 4.15, il est possible de voir ce qui suit lors de l’inspection de ce fichier : $ cat /sys/kernel/cgroup/delegate cgroup.procs cgroup.subtree_control cgroup.threads /sys/kernel/cgroup/features (depuis Linux 4.15) Avec le temps, l’ensemble de fonctionnalités de cgroups version 2 fournies par le noyau peut évoluer ou grossir, ou certaines fonctionnalités pourraient ne pas être activées par défaut. Ce fichier fournit un moyen aux applications en espace utilisateur de découvrir quelles fonctionnalités le noyau utilisé gère et a d’activées. Les fonctionnalités sont listées, une par ligne : $ cat /sys/kernel/cgroup/features nsdelegate memory_localevents Les entrées pouvant apparaitre dans ce fichier sont : memory_localevents (depuis Linux 5.2) Le noyau gère l’option de montage memory_localevents. nsdelegate (depuis Linux 4.15) Le noyau gère l’option de montage nsdelegate. memory_recursiveprot (depuis Linux 5.7) Le noyau gère l’option de montage memory_recursiveprot.
VOIR AUSSI
prlimit(1), systemd(1), systemd-cgls(1), systemd-cgtop(1), clone(2), ioprio_set(2), perf_event_open(2), setrlimit(2), cgroup_namespaces(7), cpuset(7), namespaces(7), sched(7), user_namespaces(7) Le fichier des sources du noyau Documentation/admin-guide/cgroup-v2.rst.
TRADUCTION
La traduction française de cette page de manuel a été créée par Christophe Blaess <https://www.blaess.fr/christophe/>, Stéphan Rafin <stephan.rafin@laposte.net>, Thierry Vignaud <tvignaud@mandriva.com>, François Micaux, Alain Portal <aportal@univ-montp2.fr>, Jean-Philippe Guérard <fevrier@tigreraye.org>, Jean-Luc Coulon (f5ibh) <jean- luc.coulon@wanadoo.fr>, Julien Cristau <jcristau@debian.org>, Thomas Huriaux <thomas.huriaux@gmail.com>, Nicolas François <nicolas.francois@centraliens.net>, Florentin Duneau <fduneau@gmail.com>, Simon Paillard <simon.paillard@resel.enst-bretagne.fr>, Denis Barbier <barbier@debian.org>, David Prévot <david@tilapin.org> et Jean-Paul Guillonneau <guillonneau.jeanpaul@free.fr> Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE. Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à ⟨debian-l10n-french@lists.debian.org⟩.