مستندات6.10. گروه های کنترل
گروههای کنترل (cgroups) یک ویژگی هسته هستند که گروهبندی وظایف سلسله مراتبی و حسابداری و محدودیتهای منابع در هر گروه را ارائه میکنند. آنها در کانتینرها برای محدود کردن دسترسی به دستگاه های بلوک و کاراکتر و برای منجمد کردن (تعلیق) ظروف استفاده می شوند. آنها را می توان بیشتر برای محدود کردن استفاده از حافظه و مسدود کردن i/o، تضمین حداقل سهم پردازنده و قفل کردن کانتینرها در cpus خاص استفاده کرد.
به طور پیشفرض، یک کانتینر CN دارای امتیاز به یک cgroup به نام اختصاص داده میشود /lxc/CN. در مورد تداخل نام (که می تواند هنگام استفاده از مسیرهای lxc سفارشی رخ دهد) پسوند "-n"، که در آن n یک عدد صحیح است که از 0 شروع می شود، به نام cgroup اضافه می شود.
به طور پیشفرض، یک کانتینر CN دارای امتیاز به یک cgroup به نام اختصاص داده میشود CN به عنوان مثال، تحت cgroup وظیفه ای که کانتینر را شروع کرده است /usr/1000.user/1.session/CN. به ریشه کانتینر مالکیت گروهی دایرکتوری (اما نه همه فایل ها) داده می شود تا اجازه ایجاد cgroup های فرزند جدید را داشته باشد.
از اوبونتو 14.04، LXC از مدیر cgroup (cgmanager) برای مدیریت cgroup ها استفاده می کند. مدیر cgroup درخواست های D-Bus را از طریق سوکت یونیکس دریافت می کند /sys/fs/cgroup/cgmanager/sock. برای تسهیل ظروف تودرتو ایمن، خط
lxc.mount.auto = cgroup
را می توان به پیکربندی ظرف اضافه کرد که باعث ایجاد /sys/fs/cgroup/cgmanager دایرکتوری که باید به کانتینر متصل شود. ظرف به نوبه خود باید پراکسی مدیریت cgroup را راه اندازی کند (اگر بسته cgmanager در کانتینر نصب شده باشد به طور پیش فرض انجام می شود) که باعث حرکت /sys/fs/cgroup/cgmanager دایرکتوری به /sys/fs/cgroup/cgmanager.lower، سپس شروع به گوش دادن به درخواست های پروکسی در سوکت خود کنید / sys/fs/cgroup/cgmanager/sock. cgmanager میزبان اطمینان حاصل می کند که کانتینرهای تو در تو نمی توانند از cgroup های اختصاص داده شده خود فرار کنند یا درخواست هایی را ارائه دهند که برای آنها مجاز نیستند.