cgroup

FORK爆弾爆発中のロードアベレージを⾒る @第30回シェル芸勉強会⼤阪サテライト (2017/08/26) 1  msr-i386 /
slide_20170826_cgroup

⽬次前回の復習、今回の⽬標 fork爆弾爆発中のロードアベレージの取り⽅を考えるデモまとめ 2  msr-i386 /

⾃⼰紹介ハンドルネーム: MSR Webブラウザの作者 Twitter ID: @msr386 Tungsten 3
 msr-i386 / slide_20170826_cgroup

前回の復習 fork爆弾実⾏時のロードアベレージ取得に成功した ※SysRqキーでカーネルパニックを起こし、クラッシュダンプを解析⾼ロードアベレージを記録するには1時間回せば⼗分 24時間回しただけ無駄だった 4  msr-i386
/ slide_20170826_cgroup

今回の⽬標 fork爆弾爆発中のロードアベレージをリアルタイムで⾒たい 5  msr-i386 / slide_20170826_cgroup

ロードアベレージを⾒る⽅法 uptime / w top カーネルダンプの解析 6  msr-i386 /

UPTIME 実⾏時点の稼働時間、ロードアベレージを表⽰ W uptimeの結果+ログインユーザー⼀覧を表⽰ 7  msr-i386 / slide_20170826_cgroup

TOP ロードアベレージだけでなくプロセス⼀覧、CPU使⽤率、メモリ使⽤率を⼀定間隔で更新して表⽰⼀⾔で⾔えば「多機能だが重い」カーネルダンプの解析ダンプした時点のuptime情報も同時に記録されている何度もダンプできないので、リアルタイム計測は不可能 8  msr-i386
/ slide_20170826_cgroup

FORK爆弾実⾏中にリアルタイムでロードアベレージを⾒る⼤きな壁 CPU / メモリリソースはfork爆弾によるプロセス⽣成ですぐに枯渇するからプロセスの起動もままならないのでuptimeやwは使⽤不能 topでも割り当てられるCPUリソースがなくなるので
応答停⽌ 9  msr-i386 / slide_20170826_cgroup

⼤きな壁を越える⼿段：CGROUP 10  msr-i386 / slide_20170826_cgroup

CGROUP Linuxカーネルに搭載されている強⼒なリソース制御機能 ※CPUリソースは、優先度設定で使われるnice値とは⽐べものにならないほど強⼒ Linuxカーネル 2.6.24から標準搭載リソース制限の対象: CPU、メモリ、ディスクI/O、ネットワーク・・・
コンテナ仮想化で重要な機能 11  msr-i386 / slide_20170826_cgroup

できることの⼀例特定のユーザーのリソースの制限特定ユーザーの特定プロセスに対するリソースの制限 →fork爆弾が発⽣しても制限が可能になる 12  msr-i386 / slide_20170826_cgroup

CGROUP設定⽅針 fork爆弾でCPUリソースを埋め尽くさないよう、1コアだけ使⽤しないようにする ※CPU使⽤率で制御するより単純︕ fork爆弾でメモリを埋め尽くさないよう、メモリ上限を設定する 13  msr-i386 /

デモ環境 CPU: 4コア (VM) メモリ: 16GB OS: CentOS 7 14

インストール ※⾃動起動を有効にする場合は以下を実⾏ # yum install libcgroup # yum install libcgroup-tools
# systemctl enable cgconfig # systemctl enable cgred 15  msr-i386 / slide_20170826_cgroup

設定例 /etc/cgconfig.conf /etc/cgrules.conf group forkbomb { cpuset { # 使⽤するCPUコアの指定
cpuset.cpus = "0-2"; # 使⽤するメモリノードの指定(NUMAでなければ0でよい。必須) cpuset.mems = "0"; } memory { # 上限1GB memory.limit_in_bytes = 1073741824; } } root:bash cpuset,memory /forkbomb 16  msr-i386 / slide_20170826_cgroup

設定の反映対象プロセスの確認 # systemctl restart cgconfig # systemctl restart cgred
$ cat /sys/fs/cgroup/cpuset/forkbomb/tasks 17  msr-i386 / slide_20170826_cgroup

<デモンストレーション> 18  msr-i386 / slide_20170826_cgroup

設定上の注意 cgconfig.confによる設定はCentOS7では⾮推奨とされている fork爆弾実⾏時のシェルと、ログインで使⽤するシェルは別にしなければならないメモリ制限に引っかかりcgroupがシェルを強制終了させるから (デモではcgroup制御対象はbash、ログインシェルは zsh) 19

まとめ CPUやメモリを⾷い尽くすfork爆弾の制御はcgroup で! 20  msr-i386 / slide_20170826_cgroup

参考「Red Hat Enterprise Linux 7 リソース管理ガイド」「cgroupsを利⽤したリソースコントロール⼊⾨ — |
サイ https://access.redhat.com/documentation/ja- JP/Red_Hat_Enterprise_Linux/7/pdf/Resource_Mana 7-Resource_Management_Guide-ja-JP.pdf https://oss.sios.com/yorozu-blog/cgroups-20150708 21  msr-i386 / slide_20170826_cgroup

cgroup

cgroup

MSR

More Decks by MSR

Other Decks in Technology

Featured

Transcript

FORK爆弾爆発中のロードアベレージを⾒る @第30回シェル芸勉強会⼤阪サテライト (2017/08/26) 1  msr-i386 /

⽬次前回の復習、今回の⽬標 fork爆弾爆発中のロードアベレージの取り⽅を考えるデモまとめ 2  msr-i386 /

⾃⼰紹介ハンドルネーム: MSR Webブラウザの作者 Twitter ID: @msr386 Tungsten 3

前回の復習 fork爆弾実⾏時のロードアベレージ取得に成功した ※SysRqキーでカーネルパニックを起こし、クラッシュダンプを解析⾼ロードアベレージを記録するには1時間回せば⼗分 24時間回しただけ無駄だった 4  msr-i386

今回の⽬標 fork爆弾爆発中のロードアベレージをリアルタイムで⾒たい 5  msr-i386 / slide_20170826_cgroup

ロードアベレージを⾒る⽅法 uptime / w top カーネルダンプの解析 6  msr-i386 /

UPTIME 実⾏時点の稼働時間、ロードアベレージを表⽰ W uptimeの結果+ログインユーザー⼀覧を表⽰ 7  msr-i386 / slide_20170826_cgroup

⼤きな壁を越える⼿段：CGROUP 10  msr-i386 / slide_20170826_cgroup

できることの⼀例特定のユーザーのリソースの制限特定ユーザーの特定プロセスに対するリソースの制限 →fork爆弾が発⽣しても制限が可能になる 12  msr-i386 / slide_20170826_cgroup

CGROUP設定⽅針 fork爆弾でCPUリソースを埋め尽くさないよう、1コアだけ使⽤しないようにする ※CPU使⽤率で制御するより単純︕ fork爆弾でメモリを埋め尽くさないよう、メモリ上限を設定する 13  msr-i386 /

デモ環境 CPU: 4コア (VM) メモリ: 16GB OS: CentOS 7 14

インストール ※⾃動起動を有効にする場合は以下を実⾏ # yum install libcgroup # yum install libcgroup-tools

設定例 /etc/cgconfig.conf /etc/cgrules.conf group forkbomb { cpuset { # 使⽤するCPUコアの指定

設定の反映対象プロセスの確認 # systemctl restart cgconfig # systemctl restart cgred

<デモンストレーション> 18  msr-i386 / slide_20170826_cgroup

まとめ CPUやメモリを⾷い尽くすfork爆弾の制御はcgroup で! 20  msr-i386 / slide_20170826_cgroup

参考「Red Hat Enterprise Linux 7 リソース管理ガイド」「cgroupsを利⽤したリソースコントロール⼊⾨ — |