Capítulo 3. Grupos de control
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
En este capítulo, aprenderás sobre uno de los bloques de construcción fundamentales que se utilizan para hacer contenedores: los grupos de control, más conocidos como cgroups.
Los cgroups limitan los recursos, como memoria, CPU y entrada/salida de red, que puede utilizar un grupo de procesos. Desde el punto de vista de la seguridad, unos cgroups bien ajustados pueden garantizar que un proceso no pueda afectar al comportamiento de otros procesos acaparando todos los recursos; por ejemplo, utilizando toda la CPU o la memoria para matar de hambre a otras aplicaciones. También existe un grupo de control llamado pid para limitar el número total de procesos permitidos dentro de un grupo de control, lo que puede evitar la eficacia de una bomba de bifurcación.
Nota
Una bomba de bifurcación crea rápidamente procesos que a su vez crean más procesos, lo que lleva a un crecimiento exponencial del uso de recursos que acaba por paralizar la máquina. Este vídeo de una charla que di hace unos años incluye una demostración del uso del grupo de control pid para limitar el efecto de una bomba de bifurcación.
Como verás en detalle en el Capítulo 4, los contenedores se ejecutan como procesos normales de Linux, por lo que los cgroups pueden utilizarse para limitar los recursos disponibles para cada contenedor. Veamos cómo se organizan los cgroups.
Jerarquías ...
Get Seguridad de los contenedores now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
