FERRAMENTAS LINUX: As montagens do IDMAPPED visam o Kernel Linux 5.12 - Muitos novos casos de uso de containers para o Systemd-Homed

domingo, 14 de fevereiro de 2021

As montagens do IDMAPPED visam o Kernel Linux 5.12 - Muitos novos casos de uso de containers para o Systemd-Homed

 


Confira !!


Antes da janela de mesclagem do Linux 5.12 , esperada para abrir no final do dia de amanhã, assumindo que o Linux 5.11 esteja no prazo, já existe uma solicitação de pull pendente com uma grande adição de recurso: montagens IDMAPPED.

O desenvolvedor de kernel, Christian Brauner, enviou a solicitação de pull buscando a funcionalidade de montagens IDMAPPED como parte da janela de mesclagem iminente do Linux 5.12. Aqui está seu resumo sobre este grande recurso que fará parte do próximo kernel Linux, assumindo que Linus Torvalds está de acordo com o lançamento deste código.

Esta série de patches introduz montagens idmapped que já estão sendo feitas há algum tempo. Simplificando, diferentes montagens podem expor o mesmo arquivo ou diretório com propriedade diferente. Esta implementação inicial vem com ports para fat, ext4 e com port de Christoph para xfs com mais sistemas de arquivos sendo ativamente trabalhados por pessoas independentes e mantenedores.

As montagens do Idmapping lidam com uma ampla variedade de casos de uso de longa data. Aqui estão apenas alguns:

- As montagens com mapeamento id tornam possível compartilhar arquivos facilmente entre vários usuários ou várias máquinas, especialmente em cenários complexos. Por exemplo, montagens idmapped serão usadas na implementação de diretórios home portáteis em systemd-homed.service (8), onde eles permitem aos usuários mover seu diretório home para um dispositivo de armazenamento externo e usá-lo em vários computadores onde são atribuídos diferentes uids e gids. Isso efetivamente torna possível atribuir uids e gids aleatórios no momento do login.

- É possível compartilhar arquivos do host com contêineres sem privilégios sem ter que mudar de propriedade permanentemente por meio de chown (2).

- É possível mapear o rootfs de um contêiner e sem ter que destruir todos os arquivos. Por exemplo, os Chromebooks usam-no para compartilhar a pasta de download do usuário com seus contêineres sem privilégios em seu subsistema Linux.

- É possível compartilhar arquivos entre containers com idmappings não sobrepostos.

- O sistema de arquivos que carece de um conceito adequado de propriedade, como fat pode usar montagens idmapped para implementar a verificação de permissão de acesso discricionário (DAC).

- Eles permitem que os usuários alterem de forma eficiente a propriedade por montagem sem ter que fazer o chown (2) (recursivamente) em todos os arquivos. Em contraste com chown (2), a alteração da propriedade de grandes conjuntos de arquivos é instantânea com montagens idmapped. Isso é especialmente útil quando a propriedade de um sistema de arquivos raiz inteiro de uma máquina virtual ou contêiner é alterada. Com montagens idmapped, um único syscall mount_setattr syscall será suficiente para alterar a propriedade de todos os arquivos.

- Montagens idmapped sempre levam a propriedade atual em conta, pois idmappings especificam para que um determinado uid ou gid deve ser mapeado. Isso contrasta com o syscall chown (2), que por si só não pode levar em consideração a propriedade atual dos arquivos que muda. Ele simplesmente muda a propriedade para o uid e gid especificados. Isso é especialmente problemático quando chown (2) recursivamente um grande conjunto de arquivos que é comum com o diretório home portátil mencionado acima e cenário de container e vm.

- As montagens idmapped permitem alterar a propriedade localmente, restringindo-o a montagens específicas e temporariamente, pois as alterações de propriedade só se aplicam enquanto a montagem existir.

O Systemd está pronto para começar imediatamente a usar montagens IDMAPPED como parte do systemd-homed com diretórios home portáteis, os tempos de execução de contêiner contêmerd / runC / LXD deseja usá-lo para compartilhar dados entre o host e contêineres sem privilégios, VirtIO-FS também é olhando para usá-lo para máquinas virtuais.

Mais detalhes sobre esta grande adição para o kernel Linux por meio desta solicitação de pull . São alguns milhares de linhas de código sem que todos os sistemas de arquivos ainda tenham sido transferidos para suportar IDMAPPED. Veremos nos próximos dias o que Torvalds pensa sobre o código e se ele está pronto para utilizá-lo no Linux 5.12.







Até a próxima !!

Nenhum comentário:

Postar um comentário