読者です 読者をやめる 読者になる 読者になる

TenForward

技術ブログ。はてなダイアリーから移転しました

cgroup 初期化時の v1 の処理だけ抜き出して追ってみる

cgroup 初期化のメモ。間違っている可能性大なので信用しないでください。何度も同じところを繰り返し見てるので忘れないようにメモです。 サブシステム (cgroup_subsys) と各グループのサブシステムの状態 (cgroup_subsys_state) とそれらのセット (css_set…

cgroup の SUBSYS マクロ

Linux カーネルの cgroup 関連のコードのお話。 cgroup_subsys.h というヘッダがあって、cpuset の部分だけ抜き出すと #if IS_ENABLED(CONFIG_CPUSETS) SUBSYS(cpuset) #endif という風に SUBSYS マクロの中に cpuset のようなサブシステム名を与えているだ…

cgroup のデフォルトルート cgrp_dfl_root

このエントリはほぼ個人的なメモで、色々唐突です。cgroupのコアは kernel/cgroup.c に色々処理があります。その中に「デフォルトヒエラルキ(のルート)」という変数があります。4.1 kernel のコードです。 /* * The default hierarchy, reserved for the s…

Plamo Linux で Let's Encrypt

はじめに (読まなくても問題ありません) 自前で Plamo Linux で運用しているサーバはずっと StartSSL を使って証明書を取得していました。Let's Encrypt が出てきた時は、いろいろ調べてみるとコマンド著名ディストリビューション前提で、Plamo には対応して…

Apache HTTP server の mod_proxy_html メモ

最近、結構音楽ブログを更新しています。昔は音楽レビューといえばひたすら言葉でレビューするだけだったのが、最近は動画の埋め込みを行うようになって表現力のない私でも気楽にレビューができるようになってきました。動画の埋め込みというと YouTube がま…

ip netns コマンドが意外にきめ細やかにコンテナを作ってくれる

(2016-07-26: 誤記修正しました "setns -> nsenter")お手軽にシェルスクリプトなんかでコンテナを作る場合の強い味方といえば util-linux の unshare/nsenter コマンド iproute2 の ip netns コマンド が代表的でしょう。"ip netns" は Network Namespace 作…

cgroup なのか cgroups なのか

割とどーでもいい話(でも気になってた人多いはずw)以前、第4回のコンテナ勉強会でも質問が出たのですが、cgroup/cgroups という機能の正式な名称は cgroup なのか cgroups なのか、というのはよくわかりませんでした。私は、英語って単数・複数をきちんと…

4.5 カーネルで stable となった cgroup の単一階層構造 cgroup v2 の io コントローラ

Control Group v2 以前も少し紹介していましたし、連載でも少し触れましたが、今広く (?) 使われている cgroup は色々問題があって、単一階層構造の cgroup が開発されていました。この辺りは Linux 3.16 から試せる cgroup の単一階層構造 (1) - TenForward…

cgroup namespace (2)

前回は /proc/$PID/cgroup ファイルが Namespace を反映した形で記載されているのを見ました。 とりあえずここまで。これだけだとすでにマウントされている cgroupfs はそのままの元のディレクトリ階層で見えるので、/proc/$PID/cgroup だけ見え方が変わって…

cgroup namespace (1)

以前、RHEL6 のころに ns cgroup ってサブシステムが cgroup にありましたが、それとは別のお話。4.6 カーネルに入る cgroup namespace のお話です (Ubuntu 16.04 のカーネルには入るようです) 。namespace ごとに別の cgroup ツリーが見えるようにするもの…

[Linux][Kernel][Security] User Namespace と Overlayfs と CVE-2015-8660

単なるメモです。aufs-users ML に流れた、Overlayfs と User Namespace(userns) を併せて使った時の脆弱性のお話: Re: try reproducing this problem? 脆弱性の内容は UserNamespaceOverlayfsSetuidWriteExec これに関連する脆弱性として CVE-2015-8660 が…

[DIY] 一日限りの復活(?) 家を建てる日記 番外編 - 年に一度の恒例のお手入れ

実は記事数は少ないものの、このブログの一番のアクセス数を稼いでいるDIYカテゴリ。久々に帰ってきました。むかーし家を建ててる時の現場の写真を PukiWiki に簡易的なブログ的に記録してたことがありました。その Wiki はもう全く更新していないのですが、…

Linux 4.3 の Process Number Controller (1)

連載書いたり、勉強会で発表したりしているとなかなかブログが更新できませんね。久々の更新です。これを書いている時点では Linux カーネルの 4.3-rc1 がリリースされていますが、久々に cgroup に新しいコントローラが追加されそうですね。 pids.txt 説明…

シェルスクリプトで書かれた軽量コンテナ MINCS がすばらしい (2)

これはだいぶ前に書いたエントリです。MINCS作者による最新の解説があるのでそちらもご覧ください。 (2016-11-21追記)先に書いた シェルスクリプトで書かれた軽量コンテナ MINCS がすばらしい (1) - TenForwardの日記 は私もびっくりの、このブログを書き始…

aufs を使った一般ユーザ権限で起動するコンテナ

LXC ではコンテナのクローンを行う際に色々なストレージバックエンドの特徴を生かしたスナップショットクローンを行えます。この辺りは 連載の第 19 回〜 22 回 辺りで詳しく解説しています。今まで、非特権LXCコンテナでストレージバックエンドの特徴を生か…

シェルスクリプトで書かれた軽量コンテナ MINCS がすばらしい (1)

これはだいぶ前に書いたエントリです。MINCS作者による最新の解説があるのでそちらもご覧ください。 (2016-11-21追記)コンテナは使いたいけど、たくさんコンテナを起動すると結局それぞれのコンテナに対するセキュリティアップデートなどのメンテナンスは必…

bind mount を使ったお気軽 LXC コンテナのススメ

LXC

お手軽に軽量な隔離環境を作るための kazuho さんの jailing とか、それにリソース管理の仕組みを加えた matsumotory さんの virtualing いいですね。コンテナほどの隔離性は不要だし、一々イメージを落としてきて構築とかやるにはちょっと重たいなというシ…

4.0.2 kernel と非特権コンテナ

(2015-06-11 追記) 以下の問題は 4.0.5 カーネルで解決しています。手元 (Plamo 5.3) では 4.0.2 カーネルで LXC の非特権コンテナを起動するとカーネルが固まります。その時のログは以下です (netconsole 経由で取ったので見にくい)。 https://gist.github.…

lxd を使ったライブマイグレーション (2)

このエントリの情報はおそらく古いです前のエントリ はネットワークの設定なしで行いましたが、そこに veth でホストと通信可能なネットワークの設定を行って試しました。一度で書けよって内容ですが :-pまず非特権コンテナで veth が使える設定を行います (…

lxd を使ったライブマイグレーション (1)

このエントリの情報はおそらく古いです先月、LXD 0.3 のリリースでライブマイグレーションサポート、というアナウンスがあったので早速試しましたが失敗しました (> lxd を使ったライブマイグレーション(未完) - TenForwardの日記)。これはバグがあったよう…

lxd を使ったライブマイグレーション(未完)

(2015-04-15 追記) マイグレーションできたブログエントリを書きました > lxd を使ったライブマイグレーション (1) - TenForwardの日記 (2015-03-18 追記) lxd 0.4 が出たので試してますが、今度はマイグレーション先の lxd がこんなログを吐いてしまいます …

10 分で試せる lxd 0.3

このエントリの情報は古いです(2015/04/08 追記) ubuntu-lxc の PPA の構成が変わっていますので、以下の add-apt-repository コマンドの例はそのまま実行できません。PPA の詳細は公式ページでご確認ください。 前回 (その1、その2) lxd を試したことを書い…

[Linux] Google Chrome の Namespace 利用のメモ

(2016-05-16 Chromium の参考ページが移動していたので更新)過去に勉強会なんかで「Linux 版の Chrome は Namespace を使ってる」という話をしたことあるけど、そういえば確認したことはなかったので確認したメモ。参考はこの辺り。 Linux Sandboxing pidns …

LXD でリモートの LXD ホストのコンテナを操作してみる

LXD 0.1 がリリースされたのでLXD を試してみた続きです。LXD の特徴は複数の LXD ホストをリモートから管理できることです。というわけでリモートの LXD ホストの操作を試してみました。とりあえず動くのを確かめただけです。 テスト用の LXD ホストは Ubun…

LXD を試してみた

公式ページに簡単なクライアントプログラムの使い方が載りました (2015-02-27 更新) LXD 0.1 がリリースされましたので LXD を試してみました。こちらも参考に。ただし、現時点では以下とは少しコマンドが違うようです。 LXDを試してみた Plamo 5.3 で試して…

2014年振り返りコンテナ編

今年は2014年を振り返るみたいなブログやらFacebookの書き込みをよく見かける気がするので私も。もう今年も残り少ないので手短に。Docker が春くらいからそれまで以上に盛り上がりはじめて、そこら中のベンダーがサポートを表明してましたね。その盛り上がり…

コンテナの歴史と Linux カーネルのコンテナ関連機能についての割とどうでも良い愚痴

この記事は Linux Advent Calendar 2014 の 18 日目のエントリとして書いています。Docker が盛り上がって、Docker が使ってる「コンテナ」という技術が盛り上がって、Doker の解説がそこら中にあふれるようになったので「Docker? そんなの FreeBSD が jail …

docker の CPU 隔離性

某所で話題になってたので。3.17.1 kernel で試してます (Plamo Linux 5.2)docker でも何でもなくて単に Linux kernel の cgroup がちゃんと動いてるかって話なんですが。:-)(2014-10-29 追記) なんか docker ってキーワード入ってるからかわかりませんが、…

lxc-checkpoint で CRIU を使って LXC コンテナの checkpoint/restore 処理

CRIUを最後に試したのは昨年11月でした。 CRIU (3) - TenForwardの日記 CRIU (2) - TenForwardの日記 CRIU (1) - TenForwardの日記 いつの間にやらバージョンも 1.3 とかで進化しています。でも LXC できちんと動かないよという話だったので動向だけ見守って…

cgroup の devices サブシステムのどうでも良いトリヴィア

lxc-checkpoint が動かないのでデバッグしたり、パッチ書いたり、リジェクトされたりしてる時に気づいたどうでも良い知識。cgroup の devices サブシステムは デバイスタイプ デバイスノード番号 アクセス権 をスペース区切りした文字列を devices.allow, de…

Linux 3.16 から試せる cgroup の単一階層構造 (2)

前回の続きです。 グループで使えるサブシステム "cgroup.subtree_control" ファイルにサブシステムを指定することで子グループで使えるサブシステムが指定できることを前回説明しました。これに対して、あるグループで使えるコントローラを一覧できる "cgro…

Linux 3.16 から試せる cgroup の単一階層構造 (1)

Linux 3.16 からカーネルソースツリーの Documentation/cgroups の下に一つ文書が増えているのに気づいた方もいらっしゃるのではないでしょうか。cgroupの使い方が大幅に変わる変更がマージされています。増えた文書は以下。 Documentation/cgroups/unified-…

setns を UTS Namespace をネタにおっかける

Linux:実行中プロセスの名前空間切り替え - φ(・・*)ゞ ウーン カーネルとか弄ったりのメモ masami256 さんのコンテナシリーズ、勉強になりますね。Linux カーネルの Namespace (名前空間) を扱うシステムコールのうち、既存のプロセスの Namespace を制御する …

UTS Namespace (名前空間) を追っかける

コンテナが盛り上がってるので、エラい人たちが結構色々な情報を色々な所に書いてくれるので、簡単に知識が手に入るようになってきましたね。というわけで、私のようななんちゃってな人でも気軽に処理を追っかけることができるようになってきましたから、久…

第 24 回山陰 ITPro 勉強会に参加しました

7/26(土) に第 24 回山陰 ITPro 勉強会 でコンテナについてお話したあと、色々勉強してきました。当日の私の資料は一部変更して speakerdeck に置いてあります。 Linuxコンテナを支える技術とLXC、Dockerのキホン (2014-07-26) // Speaker Deck ツイートのま…

Namespace Cgroup

全く役に立たないエントリ。こんな Cgroup 使わないように。とりあえず折角調べたので忘れないようメモ。昔々、ns cgroup なるものがありました。正式名称は "Namespace Cgroup" どうやら namespace と cgroup を連携させるものだったようで。しかし、2.6.37…

第 24 回山陰 ITPro 勉強会でコンテナについて話します

なんと開催 24 回の、活発で著名なすごい人が多数講師を務めている 山陰ITPro勉強会 に呼んでいただきました!!今までの勉強会と同様に Linux カーネルのコンテナ関連の機能についてと、LXC について話すだけでなく、Docker についても話します。Docker はそ…

linux 3.14.8, 3.15.1 での非特権コンテナ

(追記: 2014-07-01) この問題に関するパッチがマージされました。 Fix to work lxc-start with unprivileged containers on recent kernel · lxc/lxc@1bd3214 · GitHub Fix to work lxc-destroy with unprivileged containers on recent kernel · lxc/lxc@30…

overlayfs と LXC 非特権コンテナの snapshot によるクローン

kernel に入るぞ、と言われつつ入ってない overlayfs。いつですかね?なかなか凝ったことを試す時間が取れない今日このごろ、非常に薄い内容のエントリです。(2014-05-15 追記) LXC では、ファイルシステムの機能を利用した snapshot による clone をサポート…

技術評論社さんのサイトでLXCの連載をはじめました

LXCで学ぶコンテナ入門 -軽量仮想化環境を実現する技術:連載|gihyo.jp … 技術評論社 技術評論社のサイトで LXC を題材にしたコンテナの記事の連載をはじめました。よろしくお願いいたします。このようなチャンスをくださった技術評論社さんありがとうござ…

セキュリティ・キャンプキャラバンin大阪 2014 に行ってきた

まっちゃ139と共催だった セキュリティ・キャンプキャラバンin大阪 2014 に行ってきました。最近コンテナ関係のつながりで色々な方とお会いすることが多かったので、久々にセキュリティ系の勉強会で色々な方にお会いできて、ちょっと違ったノリで新鮮でした…

cgmanager を試す (2)

cgmanager を試す (1) - TenForwardの日記 の続編.Ubuntu 14.04 LTS で LXC をインストールしたときに一緒に入る cgmanager を使ってみます.前回試してからだいぶ変わっている感じがしますね.cgmanager を試すというより,cgmanager サポートでコンパイル…

Ubuntu 14.04 LTS での非特権コンテナ

(2014-07-06 追記してます) (2014-05-11 追記してます) (2014-04-24 追記してます)ついにリリースされましたね.Ubuntu の新しい LTS.これを目標に LXC 1.0 の開発は進められてきたわけで,きっと特に苦労する事もなく一般ユーザでのコンテナの作成と実行が…

Plamo Linux 5.2 での非特権コンテナ

Ubuntu はもうすぐ出そうなので出てから試すとして,Plamo 5.2 で非特権コンテナを試してみました.カーネルだけは自前で make してます (Plamo ユーザならカーネル再構築はインストール後のお決まりの仕事ですよ :-) $ uname -r 3.14.1-plamo64-karmaプロン…

『第3回 コンテナ型仮想化の情報交換会@大阪』を開催し『Linuxコンテナ入門』というお題で発表してきました

4/12 に大阪でコンテナに関する仮想化の勉強会を開催し,『Linux コンテナ入門』というお題で発表してきました.前日はDocker Meetup Tokyo #2で,最終の新幹線に飛び乗り,翌日午前から準備をして (前日,私がいない間に準備してくれて助かった!!),午後か…

Docker Meetup Tokyo #2 にちょっとだけ参加してきました

定員 100 名の所に 450 名くらいの参加登録が殺到した人気イベント,Docker Meetup Tokyo #2 に参加してきました.もう色々なイベントのまとめがされているのであまり書く意味もないですが (^_^;) @ten_forward そういえば、4/11 19:00〜Docker Meetup #2を…

Linux 3.14 で net_cls cgroup に追加された netfilter 対応

久々に cgroup 大物新機能に沸いてます! (久々じゃないかw) kernelnewbies の 3.14 ページ に書いてない気がするので危うく見逃す所でした.早速試してみました (カーネル付属文書なぞっただけ :p)対応するコミットはこちら. netfilter: x_tables: lightwei…

(改訂版) docker 0.9 で導入された libcontainer の Namespace 関連の処理

先に書いたエントリ はそれなりにアクセスがあるようですが,実は結構デタラメで間違いがあることに気づいたので,改めて調べて書きなおしてみました.相変わらず Go シロートですので,このエントリも間違ってる可能性はありますので,興味のある方はご自分…

(内容おかしいので書き直し中) docker 0.9 で導入された libcontainer の Namespace 関連の処理

(2014-03-25) 書き直しました.このエントリも参考になる部分はあるので置いときます ^^; → (改訂版) docker 0.9 で導入された libcontainer の Namespace 関連の処理 - TenForwardの日記 (2014-03-25) このエントリは色々おかしいので書きなおし中です (201…

ドライブレコーダー取り付け

DIY

数年に一度の DIY カテゴリー,意外にアクセス数多いんです (コンテナのエントリよりよっぽどw).というわけで久々に.ピンポイントな話すぎてほとんどの人に役に立たないし,同じような情報は検索すると出てくるのですがねw車は Audi A3 (8Pという先代(2代…