Containers As Kernel Objects

  int container_socket(int container_fd, int domain, int type, int protocol);

  可以让容器使用netlink socket更方便。

  让进程在容器里面运行的系统调用是:

     pid_t fork_into_container(int container_fd);

 Howell认为还有其他可以加到这个机制的方法，例如suspend和restart容器的系统调用、容器cgroup管理的方法。只是Howell的修改前景并不明朗。
 [编辑] 容器object抽象的不好?

 很多人对这样的修改并不买账。

 Jessica Frazelle认为Howell提出的容器object抽象的不够好，有其他很多创建容器的方法。还提到Open Containers Initiative中的很多runtime规范。

 James Bottomley更直接的认为这种修复的方向不对。他认为现在容器好就好在大家不必就容器是什么样的达成一致。可以根据需要创建一个用户态namespace没有mount namespace，或者一个体系结构模拟容器只有一个mount namespace。 Kubernetes系统里面对容器的使用允许namespace在“pods”之间共享，这个跟当前的容器object的定义也是冲突的。

 Eric Biederman的反对更强烈。namespace这样的修改会导致容器的所用conner cases完全暴露给用户态，开发者需要解决的问题更复杂，产生更多bug。


 [编辑] Upcalls

 退一步来看，这套patchset的出发点也不是让用户态管理容器更加方便，而是希望使内核“upcall”在容器环境里面更好的运转。

 通常来说，内核是系统的最底层。然而也不全是这样，例如`call_usermodehelper()`调用创建一个用户态进程来完成某些工作——换句话说“向上调用”到用户态。用到这样的“upcall”的有：

    * core-dump代码需要用户态进程来处理dump出的数据。
       * NFSv4 client调用程序做DNS解析。
          * 模块loader需要helper进程做模块的demand-loading
	     * 内核秘钥管理代码也需要用户态helper

	     这些upcall现在通常用到容器，然而内核没有容器的明确定义，并不能确定到底在那个容器里执行upcall，这样upcall可能会引起问题。

	     定义容器的确是解决这个问题的一个方法。但是Howell的解法引入了另外两个问题：（1）容器对象是解决问题的最好方法吗？（2）即便容器object有意义，需要暴露给用户态吗？

	     Colin Walters提出的另外一个解决方法是完全取缔“upcall”，用类似设备相关的events upcall被替换的方法。但是Jeff Layton指出这中解决方法只适用于部分问题，在其他情况下则可能引起系统可靠性的问题。

	     本文写在相关讨论火热进行的时候，发展难以预料。但是近期来看暴露到用户态的容器object难以进入内核。upcall的问题也许需要从其他方向进行解决，不过看起来这个问题还是需要一些时间。