名前空間の隔離
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/25 14:56 UTC 版)
技術的には cgroups の一部ではないが、関連する機能として、名前空間の隔離があり、グループ内のプロセスから他のグループのリソースを見えないようにすることができる。例えば、PID 名前空間を使うとそれぞれの名前空間ごとに重複したプロセス番号を割り振ることが可能になる。マウント、UTS、ネットワーク、SysV IPC などの名前空間が利用可能。もし、"ns" cgroup がマウントされている場合、それぞれの名前空間は cgroup 階層構造内で新しいグループを作る。 PID 名前空間 - プロセス番号 (PID) の割り当て、プロセスの一覧とその詳細を隔離する。新しい名前空間は兄弟名前空間からは隔離されているが、親名前空間は子名前空間のプロセスを見ることができる。 ネットワーク名前空間 - ネットワークインタフェース(物理または仮想)、iptables のファイアウォールのルール、ルーティングテーブルなどを分離する。ネットワーク名前空間は "veth" 仮想イーサーネットデバイスで相互につなげることができる。 UTS 名前空間 - ホスト名を変更できる マウント名前空間 - 異なるファイルシステムレイアウトを作ったり、特定のマウントポイントを読み込み専用にできる。 IPC 名前空間 - System V プロセス間通信を隔離する。 ユーザー名前空間 名前空間は、unshare() や、clone() でフラグを設定することにより作ることができる。
※この「名前空間の隔離」の解説は、「cgroups」の解説の一部です。
「名前空間の隔離」を含む「cgroups」の記事については、「cgroups」の概要を参照ください。
- 名前空間の隔離のページへのリンク
