use*_*084 5 linux isolation cgroups
我有一个关于cgroups的问题,特别是考虑到隔离问题.
维基百科说,你可以使用cgroup来隔离组,这样就有了"组的独立命名空间,所以它们看不到彼此的进程,网络连接或文件".
我已经知道,如何在组之间共享或划分内存或CPU,但是想知道,组或用户如何只能看到自己的进程(例如cgrules.conf和cgconfig.conf中的内容).
例:
当指定组的用户在其控制台中输入ps(或ps -aux)时,只应列出其进程,而不是其他用户/组的进程(如ps -u中所示).我知道我可以做一个快速而肮脏的编程方法来完成这样的事情,但我想知道它如何与cgroups一起工作.
非常感谢您的专业知识!
Cgroup 并不真正有能力提供全面的命名空间隔离。您正在寻找的是 Linux 容器 (LXC)——http ://lxc.sourceforge.net/。LXC 使用 cgroup 进行资源管理,并允许您对进程进行容器化并将其与主机系统隔离。Libvirt 还提供了 LXC 驱动程序,可以轻松设置容器,甚至在容器中运行完整的操作系统。
更多来源:
| 归档时间: |
|
| 查看次数: |
1474 次 |
| 最近记录: |