clone,fork与pthread_create函数

于 2024-03-12 20:54:04 发布
阅读量1k 收藏 19
点赞数 11
分类专栏: linux C函数 文章标签: linux c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tangzhangyin/article/details/136661988
版权
Linux内核使用clone函数创建进程和线程,线程创建如pthread_create通过CLONE_VM等标志,进程创建如fork仅使用SIGCHLD标志。clone函数参数包括子进程运行函数、栈空间、标志位和用户参数。线程和进程的ID在Linux中有所不同,线程ID(tid)不同于进程ID(pid),gettid系统调用用于获取tid。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

linux中创建线程和进程的过程非常类似,都是依靠 clone 函数来实现;

也就是说,只需要一个 clone函数,就既能创建进程,又能创建线程;

其中线程创建使用pthread_create函数,进程创建使用fork函数;

其实clone和fork的主要差别是传递了几个參数。

创建进程:clone(SIGCHLD)

创建线程:clone(CLONE_VM | CLONE_FS | CLONE_FILES | SIGCHLD)

linux 内核没有严格区分线程和进程,线程其实被视为一个与其他进程共享某些资源的进程,看起来就像是一个轻量级的进程。

clone函数原型:

#define _GNU_SOURCE

#include <sched.h>

int clone(int (*fn)(void *), void *stack, int flags, void *arg, ... /* pid_t *parent_tid, void *tls, pid_t *child_tid */ );

long clone3(struct clone_args *cl_args, size_t size);

#include <unistd.h>

pid_t fork(void);

// pid_t是一个宏定义,其实质是 int 被定义在#include <sys/types.h>中,pid_t定义的类型都是进程号类型。范围:0~32767;

// 返回值:若成功调用一次则返回两个值,子进程返回 0,父进程返回子进程PID(

最低0.47元/天 解锁文章
fork()和pthread_create()
wyz19891024的专栏
03-09 5080
一. fork() 该函数用于创建子进程,根本平时学习总结一下几点: 1)根据fork函数的返回值不同, 若返回值大于零则执行的是父进程代码,当然该返回值是子进程的进程号,若返回值等于零则执行的是子进程代码。 2)子进程被创建是就好像是父进程的克隆,注意父进程的所有变量,子进程都会得到一份拷贝,因此改变子进程的变量值不会影响到父进程的变量值。 3)父进程中打开的文件描述父在子进程中也是打开
Linux pthread_create源码分析
baiiu
06-03 1409
本文介绍pthread_create函数的使用和源码分析。
pthread_create用法
weixin_30788731的博客
12-17 1288
linux下用C开发多线程程序,Linux系统下的多线程遵循POSIX线程接口,称为pthread。 #include <pthread.h>int pthread_create(pthread_t *restrict tidp, const pthread_attr_t *restrict attr, ...
用户态进程/线程的创建 fork/vfork/pthread_create
资料qun832218493
09-16 708
用户态协议栈 三部曲 uio,数据帧,协议栈 100行代码搞定用户态协议栈 手写一个用户态网络协议栈,瞬间提升你网络功底 LinuxC++后台服务器开发架构师免费学习地址 fork fork 函数创建子进程成功后,父进程返回子进程的 pid,子进程返回0。具体描述如下: fork返回值为-1, 代表创建子进程失败 fork返回值为0,代表子进程创建成功,这个分支是子进程的运行逻辑 fork返回值大于0,这个分支是父进程的运行逻辑,并且返回值等于子进程的 pid 我们看
fork 进程 pthread_create线程
一杯茶品人生沉浮,平常心造万千世界
04-08 3889
<br />Introduction<br />Details<br /> <br />一个进程就相当于一个主线程。<br /> <br />fork一个进程create一个线程的区别: <br />fork进程:子进程复制父进程的进程环境。父进程结束不会影响子进程的运行。进程切换复制进程环境。 <br />create线程:子线程共享父线程的线程环境。线程(一个主线程下的多个线程)切换不复制环境,所以线程运行快,省去了复制环境的时间。主线程运行结束,子线程的运行就无意义了。 <br /> <br />子
使用pthread库进行多线程编程
技术资料库
07-02 2618
11 Threads1 Introduction不用介绍了吧…2 Thread Concepts1.     Thread由下面部分组成:a.     Thread IDb.     Stackc.     Policyd.     Signal maske.     Errnof.      Thread-Specific Data3 Thread I
系统编程05-线程(pthread_createpthread_join、pthread_exit)
weixin_48102054的博客
10-15 1479
系统编程05-线程(pthread_createpthread_join、pthread_exit)
<<APUE>>第八章--fork vfoek pthread_creat 和clone()
jiewaikexue的博客
11-19 2241
文章目录fork()返回值写时复制的具体过程:关于fork和vforkfork之后文件共享:fork之后处理文件描述符有两种常见的情况:fork之后 父子共享的东西fork之后父子之间不一样的东西fork会失败吗?为什么?关于VFORKvfork不想fork那样放将父进程的底层虚拟地址完全复制 --->vfork之后会立即调用exec关于vfork调用栈混乱的根本原因: 八字真言:读时共享,写时分离 fork() include <unistd.h> pid_t fork(void)
linux 线程 pthread_create 源码 剖析
张勤一
04-19 6673
int __pthread_create_2_1(pthread_t *thread, const pthread_attr_t *attr, void * (*start_routine)(void *), void *arg) // thread 为pthread_t,实则是pthread指针。 // typedef struct pthread *pthread_t; ->unsigned
cloneforkpthread_create创建线程有何不同&pthread多线程编程的学习小结(转)
weixin_34216196的博客
04-08 766
进程是一个指令执行流及其执行环境,其执行环境是一个系统资源的集合,这些资源在Linux中被抽 象成各种数据对象:进程控制块、虚存空间、文件系统,文件I/O、信号处理函数。所以创建一个进程的 过程就是这些数据对象的创建过程。 在调用系统调用fork创建一个进程时,子进程只是完全复制父进程的资源,这样得到的子进程独立于 父进程,具有良好的并发性,但是二者之间的通讯需要通过专门的通讯机制,如:pipe,...
Linux进程控制——线程创建pthread_create()
01-06
Linux进程控制——线程创建 实现代码 #include #include #include void* func(void *arg) { printf(Child thread!\n); printf(Thread ID is %ld\n, (unsigned long) pthread_self()); return 0; } int main(int argc, char const* argv[]) { pthread_t threadId; if(pthread_create(&threadId, NULL,func, NULL)
OS / Linux / clonefork、vfork pthread_create 创建线程有何不同
布袋和尚
05-13 800
进程是一个指令执行流及其执行环境,其执行环境是一个系统资源的集合,这些资源在Linux中被抽象成各种数据对象:进程控制块、虚存空间、文件系统,文件I/O、信号处理函数。所以创建一个进程的过程就是这些数据对象的创建过程。 在调用系统调用 fork 创建一个进程时,子进程只是完全复制父进程的资源,这样得到的子进程独立于父进程,具有良好的并发性,但是二者之间的通讯需要通过专门的通讯机制,如:pipe,fifo,System V、IPC 机制等,另外通过 fork 创建子进程系统开销很大,需要将上面描述的每种资源
[linux c/c++] Fork & Clone & Pthread_create
ykun089的博客
05-26 352
前言: 内核的最底层只有cloneforkpthread_create分别是针对clone面向进程和面向线程的封装 正文: todo
linux 用户态栈 fork,fork, vforkclone,pthread_create,kernel_thread
weixin_29526313的博客
05-07 519
gon1.4 线程创建的Linux实现我们知道,Linux的线程实现是在核外进行的,核内提供的是创建进程的接口do_fork()。内核提供了两个系统调用__clone()和fork(),最终都用不同的参数调用do_fork()核内API。当然,要想实现线程,没有核心对多进程(其实是轻量级进程)共享数据段的支持是不行的,因此,do_fork()提供了很多参数,包括CLONE_VM(共享内存空间)、C...
Fork & vfork & clone (ZZ)
小春的药匣子
09-04 3071
进程是一个指令执行流及其执行环境,其执行环境是一个系统资源的集合,这些资源在Linux中被抽象成各种数据对象:进程控制块、虚存空间、文件系统,文件I/O、信号处理函数。所以创建一个进程的过程就是这些数据对象的创建过程。     在调用系统调用fork创建一个进程时,子进程只是完全复制父进程的资源,这样得到的子进程独立于父进程,具有良好的并发性,但是二者之间的通讯需要通过专门的通讯机
linux中进程和线程的区别(forkpthread_create的区别)
mazamu的博客
09-02 2584
linux中进程和线程的区别 在linux中两者区别不大,底层都是通过clone函数来创建,只是参数不同,先上一个clone()参数标志: pthread_create使用的clone是:clone(CLONE_VM | CLONE_FS | CLONE_FILES | CLONE_SIGHAND,0) fork使用的clone是:clone(SIGCHLD,0) vfork使用的clone是:clone(CLONE_VFORK | CLONE_VM | SIGCHLD,0) 区别只是在于clone参数
pthreadclone()函数解析
weixin_51527580的博客
05-02 861
实验内容 编译运行Lecture 14示例代码:alg.14-1~alg.14-7,指出你认为不合适的地方并加以改进 对clone()的flags采用不同的配置,设计测试程序讨论其调用结果。 ​ 配置包括CLONE_PARENT,CLONE_VFORK,CLONE_FILES,CLONE_SIGHAND,CLONE_THREAD ​ 实验环境 架构:Intel x86_64(双系统) 操作系统:Ubuntu 20.04 汇编器:gas(GNU Ass..
docker容器内出现pthread_create failed: Operation not permitted
最新发布
04-04
<think>嗯,用户问的是在Docker容器内遇到“pthread_create failed: Operation not permitted”的错误。首先,我需要回忆一下这个错误通常是什么原因引起的。记得pthread_create是创建线程的函数,出现权限问题的话,可能和容器的安全配置有关,比如seccomp或者AppArmor的配置限制了线程创建。 然后,用户之前的问题是关于sysctl配置的问题,现在转向了Docker容器的线程问题,可能需要考虑容器运行时的一些安全策略。例如,Docker默认的seccomp配置文件可能会限制某些系统调用,而创建线程可能需要clonefork等调用,如果被阻止就会导致这个错误。 接下来,我需要确认用户可能的情况。可能用户在使用容器时,没有调整默认的安全配置,或者尝试运行需要多线程的应用,比如某些Java应用或者高并发的服务。这时候,如果seccomp配置过于严格,就会阻止线程创建。 然后,我需要思考解决方案。可能的步骤包括检查Docker的seccomp配置文件,调整安全选项,或者使用--security-opt来禁用某些限制。另外,用户可能在运行容器时没有给予足够的权限,比如使用--cap-add来添加必要的权能,或者使用--privileged模式,但这可能有安全风险。 另外,还要考虑ulimit的限制,比如nproc参数是否设置得太低,导致无法创建更多线程。这时候需要检查容器的ulimit设置,或者在Docker run时指定--ulimit参数调整。 还需要确认是否用户使用了自定义的seccomp配置文件,或者是否有其他安全模块如AppArmor在起作用。此外,Docker版本的不同也可能影响默认的安全策略,可能需要检查版本更新或变更日志。 最后,总结可能的解决步骤:检查默认seccomp策略是否允许clone等系统调用,调整Docker运行参数,增加权能,调整ulimit,或者使用特权模式作为临时解决方案。同时提醒用户注意安全风险,避免在生产环境中过度放宽限制。</think>在 Docker 容器中遇到 `pthread_create failed: Operation not permitted` 错误,通常容器的安全限制或资源隔离机制相关。以下是逐步分析和解决方案: --- ### **1. 直接原因分析** `pthread_create` 是 POSIX 线程创建函数,报错 `Operation not permitted` 表明底层系统调用(如 `clone` 或 `unshare`)被拒绝。 常见触发场景: - **安全策略限制**(如 seccomp、AppArmor)。 - **权能(Capabilities)不足**。 - **ulimit 限制**(如线程数上限 `nproc`)。 - **用户命名空间权限问题**。 --- ### **2. 检查安全策略限制** #### **(1) Docker 默认的 seccomp 配置** Docker 默认启用 **seccomp** 安全配置文件,会限制某些系统调用。 线程创建依赖 `clone` 系统调用,若被 seccomp 拦截会导致此错误。 **验证方法**: 运行容器时临时禁用 seccomp: ```bash docker run --security-opt seccomp=unconfined <image> ``` 如果问题消失,则需调整 seccomp 规则。 **解决方案**: - **自定义 seccomp 文件**: 从 Docker 默认配置文件(如 `/etc/docker/seccomp.json`)复制模板,添加允许 `clone` 系统调用: ```json { "names": ["clone"], "action": "SCMP_ACT_ALLOW" } ``` 运行容器时指定配置文件: ```bash docker run --security-opt seccomp=/path/to/custom-seccomp.json <image> ``` #### **(2) AppArmor/SELinux** 如果宿主机启用了 AppArmor 或 SELinux,可能拦截容器操作。 **临时测试**: 禁用 AppArmor: ```bash docker run --security-opt apparmor=unconfined <image> ``` 禁用 SELinux: ```bash docker run --security-opt label=disable <image> ``` --- ### **3. 权能(Capabilities)不足** 容器默认以非特权模式运行,缺少某些权能可能导致操作受限。 **关键权能**: - `CAP_SYS_ADMIN`:允许执行特权操作(如创建命名空间)。 - `CAP_SYS_RESOURCE`:允许修改资源限制(如 ulimit)。 **解决方案**: 运行容器时添加权能: ```bash docker run --cap-add=SYS_ADMIN --cap-add=SYS_RESOURCE <image> ``` --- ### **4. ulimit 限制** 容器的线程数可能受 `nproc` 限制。 **检查当前限制**: 在容器内执行: ```bash ulimit -u ``` 若值过小(如 1024),需调整。 **解决方案**: - **运行时指定 ulimit**: ```bash docker run --ulimit nproc=1048576:1048576 <image> ``` - **修改宿主机 Docker 默认配置**(`/etc/docker/daemon.json`): ```json { "default-ulimits": { "nproc": "1048576:1048576" } } ``` 重启 Docker: ```bash systemctl restart docker ``` --- ### **5. 用户命名空间权限** 若容器以非 root 用户运行,可能因权限不足无法创建线程。 **验证方法**: 临时以 root 用户运行容器: ```bash docker run -u root <image> ``` 若问题消失,需调整用户权限。 **解决方案**: - 在 Dockerfile 中确保用户有权操作 `/proc/sys/kernel` 等目录。 - 在 `docker run` 中指定足够权限的用户: ```bash docker run -u 0:0 --userns=host <image> ``` --- ### **6. 其他可能原因** #### **(1) 内核版本兼容性** 旧版本内核(如 4.x 之前)对容器隔离的支持可能不完善。 **检查内核版本**: ```bash uname -r ``` 建议升级到 5.x 以上内核。 #### **(2) 容器运行时配置** 如果使用非默认运行时(如 `containerd` 或 `crun`),需检查其安全策略。 **恢复测试**: ```bash docker run --runtime=runc <image> ``` --- ### **总结步骤** 1. **临时放宽限制**:通过 `--security-opt` 和 `--cap-add` 测试是否安全策略相关。 2. **调整 ulimit**:确保线程数上限足够。 3. **检查用户权限**:确保容器内用户有权创建线程。 4. **更新内核或运行时**:排除兼容性问题。 --- ### **典型修复命令示例** ```bash # 允许 clone 系统调用 + 提升权能 + 调整 ulimit docker run --security-opt seccomp=unconfined \ --cap-add=SYS_ADMIN \ --cap-add=SYS_RESOURCE \ --ulimit nproc=1048576:1048576 \ <image> ``` 若问题持续,需结合 `dmesg` 或 `journalctl` 查看内核日志,定位具体的拦截事件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值