Re: Соотнесение процесса и поля QoS

To: Dmitry Alexandrov <321942@gmail.com>
Cc: <debian-russian@lists.debian.org>
Subject: Re: Соотнесение процесса и поля QoS
From: Pavel Volkov <sailor@lists.xtsubasa.org>
Date: Tue, 17 Sep 2019 17:14:02 +0300
Message-id: <[🔎] 403d3ec4-d471-4a5d-8272-86f613afc447@lists.xtsubasa.org>
In-reply-to: <[🔎] impr5f8s.321942@gmail.com>
References: <[🔎] 8a88e3eb-22b4-422e-ab77-b40de36a2f21@lists.xtsubasa.org> <[🔎] y2ypowfc.321942@gmail.com> <[🔎] 27968cd8-be7f-419b-b2f4-0a687993a50f@lists.xtsubasa.org> <[🔎] impr5f8s.321942@gmail.com>

On вторник, 17 сентября 2019 г. 14:33:39 MSK, Dmitry Alexandrov wrote:

Но входящих коннектов с SOCKS не будет, а для битторрента этобыло бы хорошо.
Стоп. Это разные задачи, и к ним разные решения. Длябитторента — это значит для сервера; а раз для сервера — значитвопрос «чем заменить попользовательский контроль доступа»неактуален, ведь он все равно по-хорошему будет запускаться отсвоего пользователя, а возможно и в своем пространстве сетевыхимен, как т. Мельников предлагает.

Пока что сервер не нужен, только в перспективе, для начала хочу толькобраузер.

Попробую изучить cgroup-ы, а это свойство есть и в v1, и в v2?

Нет, это в первых.  А в Дебиан уже по-умолчанию вторые завезли?


Да, есть и первые, и вторые.
Чтобы systemd использовал и монтировал вторые, надо добавить аргумент ядру:
systemd.unified_cgroup_hierarchy=1

Тогда там само-то по себе все еще удобнее: возиться вручную сцифирью (а classid это число), если надо много разных классовсоздавать, уже не надо, можно буквами писать.
Но есть и одно большое но: Систем-д. Он предъявляетмонопольное право на распоряжение к-группами. Оно и на первыепредъявлял, просто net_cls от него был свободен. А ко вторым,как вы знаете, все контроллеры слили в один, так что вот такпо-простому:...уже не сделаешь. Надо какой-то огород городить, чтобы прилогине создавалось по своему ‘inet’у на каждого пользователя,причем вместе с отдельными правилами для Нетфильтра (хотя поделу они нафиг и не нужны).


Я предполагаю делать так:
$ systemd-run --user --scope --unit=inet.scope my_program

При этом запускается my_program, и она засовывается в новую c-группуinet.scope, которая является подгруппой user@1000.service.И даже не нужны рут-права, и файлы от этой группы в /sys/fs/ тожепринадлежат пользователю.


Далее я бы хотел добавить примерно такое правило в nftables:
# nft add rule filter output meta cgroup <...> ip dscp set <...>

Но не пойму, как определить числовой идентификатор группы, который туттребуется. systemd-cgls его не сообщает, а и в /sys/fs/cgroup тоже его нет.

Reply to:

References:
- Соотнесение процесса и поля QoS
  - From: Pavel Volkov <sailor@lists.xtsubasa.org>
- Re: Соотнесение процесса и поля QoS
  - From: Dmitry Alexandrov <321942@gmail.com>
- Re: Соотнесение процесса и поля QoS
  - From: Pavel Volkov <sailor@lists.xtsubasa.org>
- Re: Соотнесение процесса и поля QoS
  - From: Dmitry Alexandrov <321942@gmail.com>

Prev by Date: Re: Соотнесение процесса и поля QoS
Next by Date: Re: Соотнесение процесса и поля QoS
Previous by thread: Re: Соотнесение процесса и поля QoS
Next by thread: Re: Соотнесение процесса и поля QoS
Index(es):
- Date
- Thread