<Précédent | Table des matières | Suivant>
6.10. Groupes de contrôle
Les groupes de contrôle (cgroups) sont une fonctionnalité du noyau fournissant un regroupement de tâches hiérarchique et une comptabilité et des limites de ressources par groupe de contrôle. Ils sont utilisés dans les conteneurs pour limiter l'accès aux périphériques de blocs et de caractères et pour geler (suspendre) les conteneurs. Ils peuvent également être utilisés pour limiter l'utilisation de la mémoire et bloquer les E/S, garantir des partages de processeurs minimum et verrouiller des conteneurs sur des processeurs spécifiques.
Par défaut, un CN de conteneur privilégié sera affecté à un groupe de contrôle appelé /lxc/CN. Dans le cas de conflits de noms (qui peuvent se produire lors de l'utilisation de lxcpaths personnalisés), un suffixe "-n", où n est un entier commençant à 0, sera ajouté au nom du groupe de contrôle.
Par défaut, un CN de conteneur privilégié sera affecté à un groupe de contrôle appelé CN sous le groupe de contrôle de la tâche qui a démarré le conteneur, par exemple /usr/1000.user/1.session/CN. La racine du conteneur se verra attribuer la propriété de groupe du répertoire (mais pas de tous les fichiers) afin qu'elle soit autorisée à créer de nouveaux groupes de contrôle enfants.
Depuis Ubuntu 14.04, LXC utilise le gestionnaire de groupes de contrôle (cgmanager) pour administrer les groupes de contrôle. Le gestionnaire de groupe de contrôle reçoit les requêtes D-Bus sur le socket Unix /sys/fs/cgroup/cgmanager/chaussette. Pour faciliter la sécurité des conteneurs emboîtés, la ligne
lxc.mount.auto = groupe de contrôle
peut être ajouté à la configuration du conteneur provoquant le /sys/fs/cgroup/cgmanager répertoire à monter par liaison dans le conteneur. Le conteneur à son tour doit démarrer le proxy de gestion de groupe de contrôle (fait par défaut si le package cgmanager est installé dans le conteneur) qui déplacera le /sys/fs/cgroup/cgmanager répertoire à /sys/fs/cgroup/cgmanager.lower, puis commencer à écouter les demandes de proxy sur son propre socket /sys/fs/cgroup/cgmanager/sock. L'hôte cgmanager s'assurera que les conteneurs imbriqués ne peuvent pas échapper à leurs groupes de contrôle assignés ou faire des demandes pour lesquelles ils ne sont pas autorisés.