1 释放网络命名空间
内核中对于要释放的网络命名空间,都会通过struct net的cleanup_list成员链入全局释放链表cleanup_list中:
加入cleanup_list全局链表后,将net_clean_up工作交给netns_wq工作队列,唤醒worker thread执行释放网络命名空间的操作。其中net_clean_up和netns_wq的定义如下:
static DECLARE_WORK(net_cleanup_work,cleanup_net);
static struct workqueue_struct *netns_wq;
网络命名空间具体的释放由cleanup_net()函数执行:
该函数主要做了几件事:
1. 用net_kill_list链表代替要释放的网络命名空间链表cleanup_list(也就清空了cleanup_list)
2. 遍历net_kill_list上的所有命名空间,将其从全局的网络命名空间net_namespace_list链表中删除,并加入net_exit_list链表中
3. 执行net_exit_list中网络命名空间子系统的exit函数
4. 释放网络命名空间的gen变量
5. 从net_exit_list中删除网络命名空间并进行释放
2 与proc关系
proc下与网络相关的主要是两个目录:/proc/net/ 和/proc/sys/net。那么这两个目录是如何和网络命名空间关联起来的呢?
/proc/net目录主要是记录了网络相关的统计信息,/proc/net的初始化如下:
start_kernel ——》 proc_root_init ——》 proc_net_init
proc_net_init函数如下:
int __init proc_net_init(void)
{
proc_symlink("net",NULL, "self/net"); //把net连到self/net上
returnregister_pernet_subsys(&proc_net_ns_ops);//注册网络命名空间中的proc子系统
}
static struct pernet_operations__net_initdata proc_net_ns_ops = {
.init= proc_net_ns_init,
.exit= proc_net_ns_exit,
};
当新建一个网络命名空间时,也会调用proc子系统的init函数,该函数如下:
这个init函数主要是设置了每个网络命名空间的net目录管理结构net->proc_net和net/stat的目录管理结构proc->proc_net_stat,即每一个网络命名空间都有一个对应/proc/net的实例,在进行其他网络命名空间子系统初始化时,会获取网络命名空间的net->proc_net,将相关的文件挂到该实例下,通过以下形式实现:
init函数——》 proc_net_fops_create ———》 proc_create ——》 proc_create_data
该函数主要做了以下几个事情:
1. 根据文件的mode,设置文件的连接数目nlink
2. 调用__proc_create()创建名为name的proc_dir_entry结构
3. 给proc_dir_entry赋值指定的文件操作集
4. 注册proc_dir_entry,如果其文件操作集为空,则会为其提供默认的文件操作集。并将
该proc_dir_entry挂到proc_dir_entry parent的subdir,该parent即net->proc_net。
/proc/sys/net目录下主要是和网络可调参数相关的,/proc/sys/的初始化如下:
start_kernel ——》 proc_root_init ——》 proc_sys_init
proc_sys_init函数如下:
int __init proc_sys_init(void)
{
structproc_dir_entry *proc_sys_root;
proc_sys_root= proc_mkdir("sys", NULL);
proc_sys_root->proc_iops= &proc_sys_dir_operations;
proc_sys_root->proc_fops= &proc_sys_dir_file_operations;
proc_sys_root->nlink= 0;
returnsysctl_init();
}
这个函数创建了/proc/sys实例,弄添加到proc_dir_entry parent的subdir下,因为parent为null,所以使用默认parent即proc_root(/proc),并赋予其目录和文件操作集。
/proc/sys/下的目录和文件是按层次结构组织的,每个层次的节点通过结构体struct ctl_table表示。该结构体如下:
struct ctl_table
{
constchar *procname; //该节点在/proc/sys下的文件名称
void*data; //表示对应内核中的变量名称
intmaxlen; //表示字符串内核变量的最大长度
umode_tmode; //文件的访问权限
structctl_table *child; // 若为目录,则child指向目录下的所有文件
proc_handler*proc_handler; //回调函数
structctl_table_poll *poll; //
void*extra1; //
void*extra2; //
};
在创建一个新的网络命名空间时,sysctl子系统初始化时会执行如下操作:
static int __net_init sysctl_net_init(structnet *net)
{
setup_sysctl_set(&net->sysctls,&net_sysctl_root, is_seen);
return0;
}
该初始化操作会为初始化每个网络命名空间的sysctls成员,该成员结构如下:
struct ctl_table_set {
int(*is_seen)(struct ctl_table_set *); //当前命名空间下是否可见
structctl_dir dir; //用于维护ctl_table树
};
网络命名空间的sysctls是用来维护该网络命名空间在/proc/sys下的文件层次结构的。
在网络子系统初始化的时候会通过register_sysctl_paths和register_net_sysctl_table函数进行相关文件和目录的struct ctl_table结构注册加入到ctl_table_set维护的ctl_table树中,具体实现如下:
init 函数——》 register_net_sysctl_table ——》 __register_sysctl_paths
init 函数——》 register_sysctl_paths ——》 __register_sysctl_paths
struct ctl_table_header*register_sysctl_paths(const struct ctl_path *path,
structctl_table *table)
{
return__register_sysctl_paths(&sysctl_table_root.default_set,
path,table);
}
struct ctl_table_header*register_net_sysctl_table(struct net *net,
conststruct ctl_path *path, struct ctl_table *table)
{
return__register_sysctl_paths(&net->sysctls, path, table);
}
可以看到两者最终都是通过调用__register_sysctl_paths实现将ctl_table注册到对应的ctl_table_set中,只是传入的参数不同。参数区别在于调用的ctl_table_set不同,前者与网络命名空间无关,使用的是全局变量,注册的文件是所由网络命名空间共用一份的。后者则与命名空间相关,注册的文件时每个网络命名空间一份的。这个区别也可以从文件对应的ctl_table结构看出,比如:
例1. 所有网络命名空间共用一份的数据:
/proc/sys/net/nf_conntrack_max文件对应的ctl_table结构如下:
static ctl_table nf_ct_netfilter_table[] ={
{
.procname = "nf_conntrack_max",
.data = &nf_conntrack_max, //初始化为全局变量,与命名空间无关。
.maxlen = sizeof(int),
.mode = 0644,
.proc_handler = proc_dointvec,
},
{}
};
注册函数为:
static intnf_conntrack_standalone_init_sysctl(struct net *net)
{
……
if(net_eq(net, &init_net)) {
nf_ct_netfilter_header=
register_sysctl_paths(nf_ct_path,nf_ct_netfilter_table);
……
}
static struct ctl_path nf_ct_path[] = {
{.procname = "net", },
{}
};
使用的是register_sysctl_paths注册函数,struct ctl_path表示该ctl_table在/proc/sys层级中的位置,即/proc/sys/net。
例2. 每个网络命名空间各有一份的数据:
/proc/sys/net/unix/max_dgram_qlen文件,对应的ctl_table结构如下:
static ctl_table unix_table[] = {
{
.procname = "max_dgram_qlen",
.data =&init_net.unx.sysctl_max_dgram_qlen, //初始化为init net中的变量 .maxlen =sizeof(int),
.mode = 0644,
.proc_handler = proc_dointvec
},
{}
};
注册函数为:
int __net_init unix_sysctl_register(structnet *net)
{
……
table[0].data= &net->unx.sysctl_max_dgram_qlen;
net->unx.ctl= register_net_sysctl_table(net, unix_path, table);
……
}
static struct ctl_path unix_path[] = {
{.procname = "net", },
{.procname = "unix", },
{},
};
使用的注册函数是register_net_sysctl_table,位于/proc/sys/net/unix下,且在注册前会更新为指定命名空间的变量地址。
待补充:容器中的运用,如何从用户态操作实现/proc/sys/net和/proc/net的文件操作,具体这几个ctl_table相关结构的关系图
进程新建了命名空间,退出时是如何回收这些命名空间资源的。