• Home
  • Line#
  • Scopes#
  • Navigate#
  • Raw
  • Download
1# 沙盒管理
2
3## 概述
4### 功能简介
5支持系统组件及芯片组件进程沙盒运行。
6
7### 基本概念
8在init里面创建系统组件沙盒和芯片组件沙盒,native服务根据功能进入system沙盒或者chipset沙盒。在system-sandbox.jsonchipset-sandbox.json等配置文件中设置沙盒组件中mount bind 的目录或文件,实现沙盒组件通过mount属性进行隔离。同时,提供了一种沙盒调试工具,当需要在沙盒内验证或者进行沙盒相关开发时,方便对需求进行调试、验证、完善。begetctl沙盒命令参考:  **[begetctl命令说明](subsys-boot-init-plugin.md#参数说明)**。
9
10### 约束与限制
11
12仅标准系统下使用。
13
14## 开发指导
15### 参数说明
16  **表1** 沙盒配置文件字段解释
17
18  | JSON前缀 | 解释 |
19  | ---------- | ---------- |
20  | sandbox-root | 沙盒的根目录 |
21  | mount-bind-paths | mount一个目录 |
22  | mount-bind-files | mount一个文件 |
23  | src-path | 需要mount的目录/文件路径 |
24  | sandbox-path | 沙盒里面需要挂载至的目录/文件 |
25  | sandbox-flags | mount的挂载标志位, 缺省"bind rec"标志位 |
26  | ignore | 是否忽略mount失败,设置为1 则忽略失败,继续往下执行 |
27  | target-name | 需要link的目录 |
28  | link-name | 沙盒内link后的目录 |
29
30  **表2** 沙盒配置文件解释
31  | 沙盒配置文件 | 解释 |
32  | -------- | -------- |
33  | chipset-sandbox64.json | 64位系统的芯片沙盒配置文件 |
34  | chipset-sandbox.json | 32位系统的芯片沙盒配置文件 |
35  | system-sandbox64.json  | 64位系统的系统沙盒配置文件 |
36  | system-sandbox.json  | 32位系统的系统沙盒配置文件 |
37
38### 接口说明
39**沙盒的逻辑存储结构:**
40
41```c++
42// 主要函数
43// name is "system" or "chipset"
44bool InitSandboxWithName(const char *name); // 解析JSON至结构体
45
46typedef struct {
47    ListNode pathMountsHead;   // sandbox mount_path list head
48    ListNode fileMountsHead;   // sandbox mount_file list head
49    ListNode linksHead;        // sandbox symbolic link list head
50    char *rootPath;            // /mnt/sandbox/system|vendor|xxx
51    char name[MAX_BUFFER_LEN]; // name of sandbox. i.e system, chipset etc.
52    bool isCreated;            // sandbox already created or not
53    int ns;                    // namespace
54} sandbox_t;
55```
56### 开发步骤
571. 沙盒的创建方式
58      - 创建system或者chipset沙盒,配置对应的system-sandbox.json或者chipset-sandbox.json文件,JSON文件配置参考: [沙盒JSON文件配置](#sandbox)
59      - 默认情况下,服务的sandbox功能是打开的,如果不想让某个特定的服务不进入沙盒,在cfg中配置sandbox : 0。当在cfg配置sandbox : 1,服务依进入沙盒。
60        ```
61        "sandbox" : 1
62        ```
63
642.  修改沙盒JSON文件配置
65    - 查看系统组件沙盒配置文件、芯片组件沙盒配置文件,进入/system/etc/sandbox/ 目录下,cat system-sandbox.json ,cat chipset-sandbox.json; 直接修改对应沙盒配置文件, 重新启动。
66     对于64位系统,cat system-sandbox64.json ,cat chipset-sandbox64.json67    - 代码路径下:base/startup/init/interfaces/innerkits/sandbox 修改对应沙盒配置文件。
68
69### 开发实例
70沙盒JSON文件配置<a name = "sandbox"></a>
71
72```json
73{
74    "sandbox-root" : "/mnt/sandbox/system",
75    "mount-bind-paths" : [{
76        "src-path" : "/system/lib/ndk",
77        "sandbox-path" : "/system/lib/ndk",
78        "sandbox-flags" : [ "bind", "rec", "private" ]
79    }],
80    "mount-bind-files" : [{
81        "src-path" : "/system/lib/ld-musl-aarch64.so.1",
82        "sandbox-path" : "/system/lib/ld-musl-aarch64.so.1",
83        "sandbox-flags" : [ "bind", "rec", "private" ]
84    }],
85    "symbol-links" : [{
86        "target-name" : "/vendor/lib",
87        "link-name" : "/lib"
88    }]
89}
90```
91
92## 常见问题
93### 沙盒没有创建成功
94
95**现象描述**
96
97dmesg或者hilog日志中出现 Sandbox %s has not been created.
98
99**原因分析**
100
101沙盒没有创建成功,主要原因是mount与link时出现错误,根据mount与link的主要函数的日志,排查具体问题。
102
103**解决方法**
1041. 检查JSON文件是否配置正确。
1052. 创建的沙盒是否受支持。