在本页中,您将学习如何使用沙盒化 API (SAPI) 创建自己的沙盒化 C/C++ 库。您可以将其与头文件中的示例和代码文档一起用作指导。
build 依赖项
必须在系统上安装以下依赖项:
- 支持 UTS、IPC、用户、PID 和网络命名空间的 Linux 内核
- Linux 用户空间 API 标头
- 如需编译代码,请使用 GCC 6(首选版本 7 或更高版本)或 Clang 7(或更高版本)
- 对于自动生成头文件:Clang Python 绑定
- Python 3.5 或更高版本
- Bazel 2.2.0 版或 CMake 3.12 或更高版本。
使用 Bazel
Bazel 是推荐的构建系统,并且最易于集成。
我们的文档使用 Clang 编译器。如果您需要特定工具链(例如编译器、链接器等),请参阅 Bazel 文档,了解如何更改默认编译器工具链。
Debian 10 (Buster)
如需安装 build 依赖项,请执行以下操作:
echo "deb http://storage.googleapis.com/bazel-apt stable jdk1.8" | \ sudo tee /etc/apt/sources.list.d/bazel.list
wget -qO - https://bazel.build/bazel-release.pub.gpg | sudo apt-key add -
sudo apt-get update
sudo apt-get install -qy build-essential linux-libc-dev bazel python3 \ python3-pip libclang-dev
pip3 install clang
巴布亚语
所需的内核选项:
General setup --->
-*- Namespaces support
[*] UTS namespace
[*] IPC namespace
[*] User namespace (EXPERIMENTAL)
[*] PID Namespaces
[*] Network namespace
如需安装 build 依赖项,请执行以下操作:
emerge dev-util/bazel dev-python/typing dev-python/clang-python
使用 CMake
CMake 是一种流行的开源元构建系统,可为 Ninja 或 Make 等构建工具生成项目文件。
Debian 10 (Buster)
如需安装 build 依赖项,请执行以下操作:
sudo apt-get install -qy build-essential linux-libc-dev cmake ninja-build \ python3 python3-pip libclang-dev libcap-dev
pip3 install absl-py clang
巴布亚语
所需的内核选项:
General setup --->
-*- Namespaces support
[*] UTS namespace
[*] IPC namespace
[*] User namespace (EXPERIMENTAL)
[*] PID Namespaces
[*] Network namespace
如需安装 build 依赖项,请执行以下操作:
emerge sys-kernel/linux-headers dev-util/cmake dev-util/ninja \
dev-python/clang-python
开发流程
如需沙盒化 C/C++ 库,您必须为项目准备以下两项:
- 沙盒化库
- 主机代码,将利用沙盒化库提供的功能。SAPI 会在构建流程中为您自动生成 SAPI 对象和 RPC 存根。
您可能比较熟悉沙盒 2 示例中的 zlib,这里的整个程序 (zpipe.c) 都已经过沙盒化。在以下步骤中,您将学习如何使用 SAPI 沙盒化 zlib 库和使用沙盒化库。
1. 确定所需的函数
如果您查看 zlib 主机代码 (main_zlib.cc),就会发现该工具的功能是从 stdin 读取数据并使用 zlib 的 deflate()
函数压缩数据,直到读取 EOF
标记。该程序总共使用 zlib 中的三个函数:
deflateInit_()
:初始化以进行压缩deflate()
:用于对数据区块执行压缩操作deflateEnd()
:用于结束压缩并释放动态分配的数据结构
在实际示例中,您将查看 C/C++ 库并决定所需的函数。一种可能的策略是从主机代码入手,并使用未经过沙盒屏蔽的库。然后,在第二步中,您可以生成沙盒化库并调整主机代码,以使用沙盒化的函数调用。
2. 编写 sapi_library 构建规则
确定沙盒化 zlib 库所需的三个 zlib 函数后,您可以在 BUILD 文件中定义构建规则。有关 sapi_library
构建规则的文档位于构建规则页面。
以下代码段显示了 zlib SAPI 示例的 sapi_library
定义。使用 lib
属性,Bazel 会指示在 WORKSPACE 文件中查找 zlib 库。
sapi_library(
name = "zlib-sapi",
srcs = [],
hdrs = [],
functions = [
"deflateInit_",
"deflate",
"deflateEnd",
],
lib = "@net_zlib//:zlib",
lib_name = "Zlib",
namespace = "sapi::zlib",
)
结果是生成沙盒化 zlib 库。输出为 SAPI 对象,该对象可以包含在主机代码中,并可用于通过 RPC 调用与沙盒化库进行通信。此示例中使用的沙盒政策是默认政策。
3. 编写或更改主机代码
现在,可以将生成的 SAPI 库合并到主机代码中。
创建沙盒
使用 sapi::Sandbox sandbox(sapi::zlib::zlib_sapi_embed_create());
创建沙盒对象。
使用 sapi::zlib::ZlibApi api(&sandbox);
实例化 SAPI 对象,使沙盒化函数可供使用。
使用 SAPI 类型
SAPI 类型是 SAPI 提供的 C++ 类形式的特殊类型,因为有时常规 C 类型不起作用。
第一次使用 SAPI 类型可以在 strm
的声明中观察到,其中使用了 SAPI 结构体:sapi::v::Struct<sapi::zlib::z_stream> strm;
模板类型 (sapi::zlib::z_stream
) 是构建规则自动生成的代码示例。
如需了解详情,请查看“变量”页面。
进行 API 调用
如需调用 defalteInit_
、deflate
或 deflateEnd
,请使用 SAPI 对象。如果您决定使用“更改”方法,必须确保函数参数与预期值一致。
zlib 示例中的每个调用示例:
api.deflateInit_(strm.PtrBoth(), Z_DEFAULT_COMPRESSION, version.PtrBefore(), sizeof(sapi::zlib::z_stream));
api.deflate(strm.PtrBoth(), flush);
api.deflateEnd(strm.PtrBoth()).IgnoreError();
使用 SAPI 事务
SAPI 将主机代码与沙盒化库隔离开来,并使调用方能够重启或取消有问题的数据处理请求。SAPI 事务会更进一步,并自动重复执行失败的流程。
如需了解详情,请查看 SAPI 事务页面。
示例
在示例下,您可以找到 SAPI 团队已经准备的一些库。