setns对当前进程无效问题的排查(getpid获取值不变)

最新推荐文章于 2022-07-08 14:30:53 发布
最新推荐文章于 2022-07-08 14:30:53 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 容器云 文章标签: 内核 linux docker pid paas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pencc/article/details/104975365
版权

1)复现流程及lxc的处理

demo1程序与执行结果如下,此时在容器内部看不到执行的程序。

int main()
{
	int ret, fd, pid;
	printf("father pid old:%d\n", getpid());
	fd = open("/dev/ns", O_RDWR);
	ret = ioctl(fd, 24635); // parm is dst ns process's pid
	printf("father pid old:%d\n", getpid());
	sleep(5);
	return 0;
}

# ./a.out 
father pid old:26169
father pid old:26169

demo2程序与执行结果如下,此时容器内还是看不到执行程序,但是这里getpid()获取到的值就为0了,对比上边,世界上没有这么玄乎的事,或许是缓存的问题?这是第一个疑问。

int main()
{
	int ret, fd, pid;
	fd = open("/dev/ns", O_RDWR);
	ret = ioctl(fd, 24635); // parm is dst ns process's pid
	printf("father pid old:%d\n", getpid());
	sleep(5);
	return 0;
}

# ./a.out 
father pid old:0

demo3程序与执行结果如下,这时在容器内部能看到子进程,为什么子进程实现了pid ns的切换,父进程却没有实现?这是第二个疑问。

int main()
{
	int ret, fd, pid;
	fd = open("/dev/ns", O_RDWR);
	ret = ioctl(fd, 24635); // parm is dst ns process's pid
	printf("father pid old:%d\n", getpid());
	pid = fork();
	if(0 == pid) {
		printf("son pid:%d\n", getpid());
		sleep(5);
	} else {
		printf("father pid:%d\n", getpid());
		wait();
	}
	return 0;
}

# ./a.out 
father pid old:0
father pid:0
son pid:87

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                         
    1 root      20   0   22036   2144   1624 S   0.0  0.1   0:00.01 bash                                            
   57 root      20   0   23672   1516   1160 R   0.0  0.1   0:00.66 top                                             
   87 root      20   0    3760    204    120 S   0.0  0.0   0:00.00 a.out

lxc attach流程如下,实现思路和我们上边的测试demo一致,看来这确实是linux机制的问题。

setns()
pid = fork();
if(!pid) { // son
execve(bash);
}

2)pid缓存问题

编写了demo4:

int main()
{
	int ret, fd, pid;
	printf("father pid:%d\n", getpid());
	printf("father pid:%d\n", getpid());
	printf("father pid:%d\n", getpid());
	printf("father pid:%d\n", getpid());
	fd = open("/dev/ns", O_RDWR);
	ret = ioctl(fd, 24635); // parm is dst ns process's pid
	printf("father pid old:%d\n", getpid());
	pid = fork();
	if(0 == pid) {
		printf("son pid:%d\n", getpid());
		sleep(5);
	} else {
		printf("father pid:%d\n", getpid());
		wait();
	}
	return 0;
}

看下结果,fork前后打印一致

# ./a.out 
father pid:23246
father pid:23246
father pid:23246
father pid:23246
father pid old:23246
father pid:23246
son pid:96

strace看下,果然和我们猜的一样,除了第一次getpid调用了syscall后,后边所有的返回值均是从缓存中获取的,所以这就能解释为什么不执行getpid并fork后执行getpid获取到的返回值是0,而执行了getpid并fork后再执行getpid获取到的返回值不变。

# strace ./a.out 
execve("./a.out", ["./a.out"], [/* 29 vars */]) = 0
brk(0)                                  = 0x18f4000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fa04d79c000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=105026, ...}) = 0
mmap(NULL, 105026, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fa04d782000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libc.so.6", O_RDONLY)        = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0@\356\1\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1478056, ...}) = 0
mmap(NULL, 3586120, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fa04d215000
mprotect(0x7fa04d377000, 2097152, PROT_NONE) = 0
mmap(0x7fa04d577000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x162000) = 0x7fa04d577000
mmap(0x7fa04d57c000, 18504, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7fa04d57c000
close(3)                                = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fa04d781000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fa04d780000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fa04d77f000
arch_prctl(ARCH_SET_FS, 0x7fa04d780700) = 0
mprotect(0x7fa04d577000, 16384, PROT_READ) = 0
mprotect(0x7fa04d79e000, 4096, PROT_READ) = 0
munmap(0x7fa04d782000, 105026)          = 0
getpid()                                = 23253
fstat(1, {st_mode=S_IFCHR|0600, st_rdev=makedev(136, 4), ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fa04d79b000
write(1, "father pid:23253\n", 17father pid:23253
)      = 17
write(1, "father pid:23253\n", 17father pid:23253
)      = 17
write(1, "father pid:23253\n", 17father pid:23253
)      = 17
write(1, "father pid:23253\n", 17father pid:23253
)      = 17
open("/dev/ns", O_RDWR)                 = 3
ioctl(3, 0x603b, 0x7fa04d57cdf0)        = 0
write(1, "father pid old:23253\n", 21father pid old:23253
)  = 21
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7fa04d7809d0) = 97
write(1, "father pid:23253\n", 17father pid:23253
)      = 17
wait4(-1, son pid:97
0xffffffff, 0, NULL)          = -1 EFAULT (Bad address)
--- SIGCHLD (Child exited) @ 0 (0) ---

3)为什么子进程实现了pid ns的切换,父进程却没有实现?

先来看看setns的实现,在2.6.32中要支持setns很简单首先通过不创建新NS的方式调用copy_namespaces并传入dst ns,这会增加dst ns的引用,之后通过switch_task_namespaces传入current task与dst ns,在函数中会首先进行nsproxy指针的交换,将当前task切换到dst ns中,之后src ns减引用,这样就能保证引用数量的正确。因此这里实际上切换了current task的nsproxy。

copy_namespaces->switch_task_namespaces

int copy_namespaces(unsigned long flags, struct task_struct *tsk)
{
    struct nsproxy *old_ns = tsk->nsproxy;
    struct nsproxy *new_ns;
    int err = 0;

    if (!old_ns)
        return 0;

    get_nsproxy(old_ns);

    if (!(flags & (CLONE_NEWNS | CLONE_NEWUTS | CLONE_NEWIPC |
                CLONE_NEWPID | CLONE_NEWNET)))
        return 0;
。。。
}

void switch_task_namespaces(struct task_struct *p, struct nsproxy *new)
{
    struct nsproxy *ns;

    might_sleep();

    ns = p->nsproxy;

    rcu_assign_pointer(p->nsproxy, new);

    if (ns && atomic_dec_and_test(&ns->count)) {
        /*
         * wait for others to get what they want from this nsproxy.
         *
         * cannot release this nsproxy via the call_rcu() since
         * put_mnt_ns() will want to sleep
         */
        synchronize_rcu();
        free_nsproxy(ns);
    }
}

再看看getpid的调用流程(sys_getpid–>task_tgid_vnr->pid_vnr->pid_nr_ns),这里考虑线程问题通过task_tgid获取该PID的tgid,因为应用层和内核对PID的定义不同,内核中进程与线程都拥有相同的结构体描述struct task_struct,因此进程与线程在内核中均拥有自己独立的PID,因此这时候找到“用户态PID”的关键是找到根进程,因为父根进程的pid与tgid是一致如下,因此在这里传入tgid来代替父根进程的PID。在pid_nr_ns中会进行两个判断,一是该pid ns的level应大于指定pid ns的level,这里的pid ns level如下图所示是一个树状结构,这里default pid ns中的pid level为0,而基于某进程创建的CLONE_NEWPID的进程,其pid ns level + 1,因此这里的判断会出现问题,因为setns只修改了current->nsproxy,如果是在default pid ns中执行的demo程序以及lxc程序,那么current->nsproxy->pid_ns->level = 1,而pid->level = 0,这会导致判断失败直接返回0,这也是我们在demo程序中通过getpid()得到0的原因。

 <-- PID 43 --> <----------------- PID 42 ----------------->
                     +---------+
                     | process |
                    _| pid=42  |_
                  _/ | tgid=42 | \_ (new thread) _
       _ (fork) _/   +---------+                  \
      /                                        +---------+
+---------+                                    | process |
| process |                                    | pid=44  |
| pid=43  |                                    | tgid=42 |
| tgid=43 |                                    +---------+
+---------+
 <-- PID 43 --> <--------- PID 42 --------> <--- PID 44 --->

在这里插入图片描述

SYSCALL_DEFINE0(getpid)
{
    return task_tgid_vnr(current);
}

static inline pid_t task_tgid_vnr(struct task_struct *tsk)
{
    return pid_vnr(task_tgid(tsk));
}

pid_t pid_vnr(struct pid *pid)
{
    return pid_nr_ns(pid, current->nsproxy->pid_ns);
}

pid_t pid_nr_ns(struct pid *pid, struct pid_namespace *ns)
{
    struct upid *upid;
    pid_t nr = 0;

    if (pid && ns->level <= pid->level) {
        upid = &pid->numbers[ns->level];
        if (upid->ns == ns)
            nr = upid->nr;
    }
    return nr;
}

如下,这里有对获取到的upid->nr的一个很好的解释,也就是说upid是pid ns有效的,另外这个实验是在2.6.32.5中实现的,而2.6.32.5中不支持setns(我对它进行了移植),或许在3.x的某些支持setns的版本中也能复现,但4.9.0中pid_nr_ns的不同实现导致了实验效果的不同,在4.9.0中demo程序会返回default ns中的pid。

/*
 * struct upid is used to get the id of the struct pid, as it is
 * seen in particular namespace. Later the struct pid is found with
 * find_pid_ns() using the int nr and struct pid_namespace *ns.
 */
struct upid {
    /* Try to keep pid_chain in the same cacheline as nr for find_vpid */
    int nr;
    struct pid_namespace *ns;
    struct hlist_node pid_chain;
};

最后再补充下,前面可以看到setns实现其实只修改了task_struct中的nsproxy,因此fork会通过调用链do_fork->copy_process->alloc_pid(p->nsproxy->pid_ns)也就是利用父进程的nsproxy->pid_ns来创建自己的pid,这样就说明了为什么lxc中必须fork出子进程来执行execve。

Penccc
关注
专栏目录
unshare与setns函数
tangzhangyin的专栏
03-12 722
作用:分离进程执行上下文的各个部分,允许进程(或线程)解除当前与其他进程(或线程)部分共享的执行上下文;unshare() 允许进程在不创建新进程的情况下控制(主要是取消共享)其共享的执行上下文。当使用 fork(2) 或 vfork(2) 创建新进程时,有的执行上下文,比如命名空间是隐式共享的,即如果你不显式的指定,那么默认创建的子进程或子线程都在同一个命名空间当中。使用clone(2)创建进程或者线程式,有的执行上下文,比如虚拟内存需要显式的指定。
linux当前进程进程号,Linux内核当前进程结构的current宏
weixin_31440053的博客
04-28 2374
上篇文章Linux内核的源码结构简介(1)简单介绍了Linux内核源码的目录结构,以及和进程的task_struct的几个关键变量,最后提到了在内核当前进程pid的代码:current->pid。current,属于内核的一个宏,指向get_current()函数。#define current get_current()所以代码current,实际是取get_current()函...
在CentOS中使用setns系统调用
s1986q的专栏
02-22 3595
系统调用setns内核在3.0引入的一个新的系统调用,参考http://kernelnewbies.org/Linux_3.0#head-69fb31d5d1d284f3a95e56d0ec43a2b23c30c4f3 centos6.5的内核支持该系统调用,但用户态的glibc(2.12)并不支持该系统调用。 考虑下面的示例,引自http://man7.org/linux/man-pa
利用setns()将进程加入一个新的network namespace
weixin_30551947的博客
12-27 441
1、首先使用docker创建一个容器,并取该容器的network namespace monster@monster-Z:~$ docker run -itd --name test ubuntu /bin/bash 3926b5b272107843602fae240fdda929c0e5830dbadc0122b10cd8e66cf71f31 monster@monster-Z:~$...
docker-enter:用于输入现有容器的docker工具。 该工具依赖dockersetns
03-26
什么是docker-enter docker-enter是一个简单的程序,可让您访问正在运行的Docker容器。 这类似于nsenter BUT,但没有所有错误和依赖项。 此外,docker-enter充分利用了docker本身,从而可以使用容器的简短ID(ID的2-3个开头字符)。 请记住,此工具需要安装docker才能运行。 但是,由于您要输入一个容器,这意味着您已经安装了它,因此不必大惊小怪。 示范: manos@box:~$ docker run -d ubuntu sleep 9999999 73d6cfac58c1b8ade19ec485b249f5a7bf44840bdeeebf36cd675f05625b47ab manos@box:~$ sudo docker-enter 73d [sudo] password for manos: root@73d6cfac5
execv bad address
温和的跳跃
08-08 1553
试了试execve excvp 都是bad address 路径问题还有末尾的NULL 二维数组都考虑了,可能还是粗心 什么地方忘记了.它就是bad address. 最后execl可了. 但是它们实现上应该是差不多啊 作用差不多表现形式不一样而已 不可能每个函数一种实现.......... execl( pathname,filename,arg[1],arg[2]....NULL) ...
c 语言getpid头文件,c – 需要当前进程PID,getpid()返回-1
weixin_39623350的博客
05-23 1440
我需要为进程使用的文件(执行我的C程序)提供一个唯一的名称.在我使用静态字符串之前,但当我尝试并行运行程序的两个实例时,我意识到它们都访问了同一个文件.为此,我希望文件名包含创建和使用它的进程PID.但是,当我尝试使用getpid()时,我似乎总是得到-1作为返回值.void accessfile(){std::cout << "DEBUG: accessfile() called ...
Linux系统编程_进程 取getpid(子),getppid(父),创建(fork,vfork)
asd25415129591的博客
07-08 1015
进程ID,创建进程
Python进程,多进程进程id,给子进程传递参数操作示例
09-18
本文将重点介绍如何使用Python进行进程操作,包括创建多进程进程ID以及向子进程传递参数。 首先,进程是操作系统分配资源的基本单位,而线程是执行的基本单位。线程之间可以共享全局变量,但进程之间不共享,...
对python中的os.getpid()和os.fork()函数详解
09-18
`os.getpid()`函数用于当前进程的唯一标识符,即进程ID(PID)。这个ID是操作系统分配给每个进程的,用于区分系统中的不同进程。在上面的代码示例中,`os.getpid()`被用来打印出父进程和子进程PID,这样可以...
go MPG 模型导致的系统调用setns的坑
左岸映雪的博客
06-21 627
这里写自定义目录标题go MPG 模型导致的系统调用setns的坑背景某些情况下syscall.Syscall失败经历过程实验对比 go MPG 模型导致的系统调用setns的坑 背景 最近在做的一个项目是关于docker容器内的端口监听(包括导出的端口和未导出的端口)以及端口对应的sokcet inode号,因为有了inode号可以在物理机上对应到是哪个服务进程。采用的方案是先取到docker容器的ns命名空间,然后使用系统调用 syscall .Syscall(SYS_SETNS, uintptr
阿里云容器启动失败: failed to unshare namespaces, running exec setns process for init, Unable to create nf_co
wqhlmark64的博客
01-23 7492
阿里云Swarm集群上一个节点启动容器失败,日志和事件中的报错信息如下:"failed to unshare namespaces: Cannot allocate memory"启动容器失败:Error response from daemon: Error response from daemon: oci runtime error: container_linux.go:262: star...
Linux内核-容器之namespace
feilengcui008的专栏
06-10 8114
1. 介绍简单玩了下Linux kernel为容器技术提供的基础设施之一namespace(另一个是cgroups),包括uts/user/pid/mnt/ipc/net六个(3.13.0的内核). 这东西主要用来做资源的隔离,我感觉本质上是全局资源的映射,映射之间独立了自然隔离了。主要涉及到的东西是: clone setns unshare /proc/pid/ns, /proc/pid/uid_
busybox ync.c:(.text.sync_main+0x78): undefined reference to `syncfs' 出错
lutherarcher的博客
03-23 3866
arm-linux-gcc4.4.3编译busybox-1.25.0   系统环境: 1、操作系统:Ubuntu16.04 2、交叉编译工具链:arm-linux-gcc4.4.3 3、busybox源码包:busybox-1.25.0   一、修改Makefile配置 首先解压源码包: tar -jxvf busybox-1.25.0.tar.bz2 进入bu
arm-linux-gcc4.4.4编译busybox-1.25.1
hjjdebug的专栏
12-06 2257
arm-linux-gcc4.4.4编译busybox-1.25.1 编译出现了一些问题,是因为arm-linux-gcc 比较旧,而busybox 比较新 用较新的gcc 应该不会出问题。 1. tar -xjvf busybox-1.25.1.tar.bz2 2. make defconfig 3. make menuconfig   Busybox Setting ----->
docker基础知识】docker问题汇总
热门推荐
zhonglinzhang
12-25 2万+
1.Got starting container process caused "process_linux.go:301: running exec setns process for init caused \"exit status 40\"": unknown. from time to time 解决问题:https://github.com/opencontainers/r...
DataFrame的元素选择与赋值
choumin的专栏
04-25 2万+
选择 1. 根据列名选择 >>> df['A'] 选择df中名称为'A'的列,该操作产生一个Series,等同于df.A。 2.根据行号选择 >>> df[0 : 3] 选择df中第0到第2行,该操作产生一个DataFrame。 3.根据索引选择 >>> df['20130102' : '20130104'] 选择索...
Docker背后的知识(一)-------------namespace
happyAnger6的专栏
03-02 896
Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制(copy-on-write)实现了高效的文件操作。 1.namespace资源隔离
getpid进程PID其返回值能是负数吗
最新发布
06-06
根据 Linux 中 `getpid()` 函数的文档,其返回值类型为 `pid_t`,是一个有符号整数类型,其取值范围为 -2147483648 到 2147483647。因此,理论上 `getpid()` 函数的返回值可能是负数,但在实际应用中,通常不会出现这种情况。因为进程PID 通常是从 1 开始递增的正整数,只有在特殊情况下(比如出现错误)才可能返回负值。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值