[devel] [Erlang] ограничение на количество потоков в Альте

[Dmitry V. Levin]

On Sun, Nov 21, 2021 at 03:37:19PM +0300, Nikolay A. Fetisov wrote:
> В Вс, 21/11/2021 в 15:09 +0300, Dmitry V. Levin пишет:
> > On Sun, Nov 21, 2021 at 02:56:05PM +0300, Nikolay A. Fetisov wrote:
> > > 
> > > Т.е. теперь namespaces могут создавать и обычные пользователи...
> > > ...
> > 
> > Это как раз зависит от положения переключателя
> > /proc/sys/kernel/userns_restrict, см. соседний тред.
> 
> Ну т.е. это уйдёт само при следующей сборке ядра.

Если у вас не установлен пакет bubblewrap, конечно.

> > > Хотя, как минимум внутри контейнеров LXC/LXD это не так страшно,
> > > есть ещё ограничение по числу процессов в контейнере в целом,
> > > и оно успешно срабатывает.
> > 
> > Но если внутри контейнера можно создавать userns, то это ограничение,
> > видимо, обходится таким же образом, как и глобальные ограничения?
> > Или что-то препятствует этому?
> 
> Для изоляции контейнера используются namespaces. То, что создаётся 
> внутри контейнера - получается следующим уровнем иерархии.
> Ограничение на число процессов контейнера задаётся в хост-системе
> через /sys/fs/cgroup/pids/lxc.payload.<ct>/pids.max , и учитывает
> и процессы создаваемых внутри контейнера namespaces.

Т.е. ответ "да", число процессов в контейнере на практике ограничивают
другими средствами.  Видимо, это имели в виду авторы v5.14-rc1~153^2~2,
когда решили в некотором смысле упразднить RLIMIT_NPROC для userns.
Видимо, они считали это настолько очевидным, что не стали упоминать
об этом в commit message'ах.


-- 
ldv