Documentatie6.10. Controle groepen
Stuurgroepen (cgroups) zijn een kernelfunctie die hiërarchische taakgroepering en resourceboekhouding per cgroep en limieten biedt. Ze worden gebruikt in containers om de toegang tot blok- en tekenapparaten te beperken en om containers te bevriezen (opschorten). Ze kunnen verder worden gebruikt om geheugengebruik te beperken en i/o te blokkeren, minimale cpu-shares te garanderen en containers te vergrendelen op specifieke cpu's.
Standaard wordt een geprivilegieerde container-CN toegewezen aan een aangeroepen cgroup /lxc/CN. In het geval van naamconflicten (die kunnen optreden bij gebruik van aangepaste lxcpaths) wordt een achtervoegsel "-n", waarbij n een geheel getal is dat begint bij 0, toegevoegd aan de cgroup-naam.
Standaard wordt een geprivilegieerde container-CN toegewezen aan een aangeroepen cgroup CN onder de cgroep van de taak die de container heeft gestart, bijvoorbeeld /usr/1000.gebruiker/1.sessie/CN. De container root krijgt groepseigendom van de directory (maar niet alle bestanden), zodat het nieuwe onderliggende cgroups mag maken.
Vanaf Ubuntu 14.04 gebruikt LXC de cgroup manager (cgmanager) om cgroups te beheren. De cgroup-manager ontvangt D-Bus-verzoeken via de Unix-socket /sys/fs/cgroup/cgmanager/sock. Om veilig geneste containers mogelijk te maken, is de line
lxc.mount.auto = cgroep
kan worden toegevoegd aan de containerconfiguratie waardoor de /sys/fs/cgroup/cgmanager directory die bind-gemonteerd moet worden in de container. De container zou op zijn beurt de cgroup-beheerproxy moeten starten (standaard gedaan als het cgmanager-pakket in de container is geïnstalleerd) die de /sys/fs/cgroup/cgmanager map naar /sys/fs/cgroup/cgmanager.lower, begin dan te luisteren naar verzoeken om proxy op zijn eigen socket /sys/fs/cgroup/cgmanager/sock. De cgmanager van de host zorgt ervoor dat geneste containers niet kunnen ontsnappen aan hun toegewezen cgroups of verzoeken kunnen doen waarvoor ze niet geautoriseerd zijn.