Настройка МСВСфера

Лимитирование и изоляция могут использоваться вместе или по отдельности:

• Если включено только лимитирование: ресурсы пользователя будут ограниченны, при этом у него будет доступ к общей файловой системе.
• Если включена только изоляция: ресурсы пользователя будут неограниченны, но у него будет доступ только к собственной изолированной файловой системе.
• Если включены и лимитирование, и изоляция: ресурсы пользователя будут ограниченны, и у него будет доступ только к собственной изолированной файловой системе.
  Если планируется использовать и лимитирование, и изоляцию, и для веб-сервера Apache установлен режим MPM-ITK, запретите пользователю доступ к PHP как модулю Apache. Это нужно для того, чтобы пользователь не смог переключить свои сайты в режим, для которого не поддерживается изоляция.
  
  

Изоляция

1. Авторизуйтесь в панели ispmanager под учетной записью уровня администратор или выше.
2. Перейдите в раздел панели Пользователи.
3. Выберите пользователя и нажмите   или нажмите Создать пользователя и заполните необходимые поля.
4. В блоке Лимиты и изоляция LS отметьте чекбокс Включить изоляцию LimitedFS.
5. Нажмите Сохранить.

Технические подробности

• Изоляцией управляет сервис limitedfs.service.
• Конфигурационные файлы сервиса: /etc/limitedfs/.
• Журнал сервиса: /var/log/limitedfs-service.log.
• Файловые системы и точки монтирования для пользователей: /srv/limitedfs/uids/.
  Подробнее о работе и настройке изоляции — в официальной документации ОС МСВСфера.

Лимитирование

1. Авторизуйтесь в панели ispmanager под учетной записью уровня администратор или выше.
2. Перейдите в раздел Пользователи.
3. Выберите пользователя и нажмите   или нажмите Создать пользователя и заполните необходимые поля.
4. В блоке Лимиты и изоляция LS выберите ограничения для ресурсов:
   • CPU — процессора, в %.
     Пояснение

     100% соответствует одному ядру, 200% — двум и т.д. Если установлено ограничение 25%, все процессы пользователя при пиковой нагрузке будут потреблять не более 25% от одного ядра.
   • MEM — оперативной памяти, в байтах.
   • SWAP — файла подкачки, в байтах.
   • PROC — числа одновременно запущенных процессов.

   Доступны следующие варианты ограничений:

   • Unlimited — потребление ресурса не ограничено.
   • Default — задается ограничение по умолчанию (значение указано под полем).
     Лимиты по умолчанию можно изменить в разделе панели Настройка системы → Лимиты и изоляция LS (глобальные значения по умолчанию).  
   • Custom — ограничение задается вручную (под полем).
   • Off (только для файла подкачки) — файл подкачки отключен.
5. Нажмите Сохранить.

Технические подробности

• За лимитирование ресурсов отвечают:
  • klsd — служба, которая помещает новые процессы в контейнеры.
  • lsctl — утилита, которая управляет лимитами для контейнеров.
  • ls_admin — утилита дополнительных настроек лимитирования.
    
  
  
• Конфигурационный файл службы klsd: /etc/klsd/config.
• Журнал службы klsd: /var/log/klsd.log.
  Подробнее о работе и настройке лимитирования — в официальной документации ОС МСВСфера.