Container sem Docker

chroot, namespaces e cgroups

$ node
v.18.19.1

Criação do namespace:

$ sudo unshare --pid --fork --mount-proc /bin/bash
#

Abrir nova janela do terminal:

$ ps -ef --forest

Voltar para a janela anterior #:

# ps 

# ps -aux

Foi possível isolar o processo!

Ainda é possível acessar o sistema de arquivos do host:

#pwd
/
# ls

# cd /home
# ls

Faz-se necessário utilizar o comando chroot para obter o isolamento do sistema de arquivos.

Sair do namespace e conferir com o comando ps -ef --forest:

# exit
$ ps -ef --forest

Acessar o diretório home e criar um diretório container

$ cd ~
$ pwd
/home/marcelo
$ ls
$ mkdir Container

Ao executar o comando sudo chroot . não é possível mais acessar o /bin/bash :

$ cd Container
$ sudo chroot .

Uma opção mais otimizada que gera bastante trabalho seria copiar todas as dependências do /bin/bash:

$ ldd /bin/bash

Outra opção seria instalar o debootstrap que copia todo o sistema de arquivos da distribuição Linux para o diretório desejado:

$ sudo apt update
$ sudo apt install debootstrap
$ sudo debootstrap jammy .
$ ls

Agora é possível executar o chroot novamente e utilizar o sistema de arquivos do container:

$ sudo chroot .
# 

O diretório agora é o diretório root do container:

# pwd
/
# cd /home/
# ls

Teste de isolamento para o container criado:

# pwd
/home
# echo "Teste" > teste.txt
# ls
teste.txt
# exit
$ ls /home/
marcelo

O arquivo somente está disponível no diretório do container:

$ ls /home/marcelo/Container/home
teste.txt

Ao tentar rodar o comando ps dentro do container ocorre o seguinte erro:

$ cd /home/marcelo/Container
$ sudo chroot .
# ps
Error, do this: mount -t proc proc /proc
# mount -t proc proc /proc

Ao executar o comando ps é possível visualizar todos os processos:

# ps
# ps -aux

Os processos não foram isolados pois está sendo utilizada a árvore de processos do Linux e não está sendo utilizado o namespace

Ao combinar o comando unshare com o chroot será possível isolar o processo e o sistema de arquivos:

$ sudo unshare --pid --fork --mount-proc chroot . /bin/bash
# mount -t proc proc /proc
# ps -aux

Processos e sistema de arquivos isolados

Em outro terminal é possível verificar todos os demais processos e a árvore de processos do Linux com o container isolado:

$ ps -ef --forest

Execução de instrução para sobrecarga da CPU com o objetivo de verificar a falta de controle de recurso computacional para o container criado:

# while true; do: $((2**30)); done

Manter o comando while em execução no terminal

Em outro terminal instalar o htop:

$ sudo apt update
$ sudo apt install htop
$ htop

Manter o htop em execução no terminal

Para gerenciamento de recurso computacional será utilizado o cgroup

cgroup

Abrir um novo terminal e executar o comando abaixo para verificar todas as configurações de controle de recursos:

$ ls /sys/fs/cgroup/

Mais informações: cgroup

A proposta será criar um sub-cgroup, sub grupo de recursos, para os containeres.

Habilitar o uso de CPU e CPU SET para gerenciar o uso de CPU e definir qual CPU executará determinado processo. Lembrar que o Linux é baseado em arquivos e diretórios. Serão alterados arquivos para esta configuração.

Acessar como usuário root e habilitar o CPU e CPUSET:

$ sudo su
# cd /sys/fs/cgroup/
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat >> cgroup.subtree_control
cpuset cpu memory pids

Serão apresentados mais arquivos no diretório /sys/fs/cgroup por conta da habilitação realizada:

Será criado um controlador filho:

# mkdir cgroup_docker

Com o diretório criado foram criados arquivos para configuração dos recursos computacionais:

Habilitar CPU e CPUSET no controlador filho:

# cd /sys/fs/cgroup/cgroup_docker
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat cgroup.subtree_control
cpuset cpu
# ls

Especificar em qual processador o processo deve ser executado. Para isso faz-se necessário adicionar o PID e adicionar ao processos do controlador filho. Voltar ao HTOP que está sendo executado em outro terminal e recuperar o PID. Será possível especificar que este processo 2541 será controlador por este cgroup:

# pwd
/sys/fs/cgroup/cgroup_docker
# echo "2541" >> cgroup.procs
# cat cgroup.procs
2541

Definir que o processo será executado na CPU 0, por exemplo.

Ao voltar no HTOP foi verificado que somente uma CPU estava habilitada. Como o sistema operacional está sendo executado no Oracle VM VirtualBox foi necessário desligar a máquina e habilitar mais CPUs para este laboratório. Com isso, algumas informações serão atualizadas, como o número do processo, por exemplo. Abaixo os procedimentos realizados.

Procedimentos

Verificar a quantidade de CPU habilitada:

$ htop

Criar o container e verificar os processos isolados:

$ pwd
/home/marcelo/Container
$ sudo unshare --pid --fork --mount-proc chroot . /bin/bash
# mount -t proc proc /proc
# ps-aux

Sobrecarregar o container:

# while true; do: $((2**30)); done

Verificar qual o processo sobrecarregado no htop que está sendo executado no outro terminal e identificar o processo:

Processo identificado: 2852

Adicionar o cpu e cpuset ao cgroup.subtree_control paie e filho, e o processo ao cgroup.procs ao filho:

# pwd
/sys/fs/cgroup/
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat cgroup.subtree_control
cpuset cpu memory pids
# cd cgroup_docker
# pwd
/sys/fs/cgroup/cgroup_docker
# echo "+cpu" >> cgroup.subtree_control
# echo "+cpuset" >> cgroup.subtree_control
# cat cgroup.subtree_control
cpuset cpu
# echo "2852" >> cgroup.procs
# cat cgroup.procs
2852

Definir que o processo será executado na CPU 0, por exemplo:

# pwd
/sys/fs/cgroup/cgroup_docker
# echo "0" >> cpuset.cpus
# cat cpuset.cpus
0

Voltar ao htop que está sendo executado em outro terminal para verificar a carga do processador 0. Para facilitar foi inserida a coluna CPU para verificar qual o processador do processo.

Inserção de coluna para verificar qual o processador do processo

Com o htop em execução, verificar a barra inferior com as funções disponívels. Fluxo de eventos:

• F2 Setup

• Screens

• Main

• Available Columns: PROCESSOR

• F5 Add

• F7 MoveUP

• F10 Done

Testes para execução do processo na CPU 2, por exemplo, ao invés da CPU 0:

# echo "2" >> cpuset.cpus
# cat cpuset.cpus
2

Limitar o consumo de CPU em 50%:

# pwd
/sys/fs/cgroup/cgroup_docker/
# echo "500000 1000000" > cpu.max

cpu.max

Container criado!