Dokumenty<Poprzedni | Spis treści | Następne>
6.10. Grupy kontrolne
Grupy kontrolne (cgroups) to funkcja jądra zapewniająca hierarchiczne grupowanie zadań oraz rozliczanie i limity zasobów dla poszczególnych grup. Stosowane są w kontenerach do ograniczania dostępu do urządzeń blokowych i znakowych oraz do zamrażania (zawieszania) kontenerów. Można ich dalej używać do ograniczania użycia pamięci i blokowania operacji we/wy, gwarantowania minimalnego udziału procesora i blokowania kontenerów dla określonego procesora.
Domyślnie uprzywilejowany kontener CN zostanie przypisany do cgroup o nazwie /lxc/CN. W przypadku konfliktów nazw (które mogą wystąpić podczas używania niestandardowych ścieżek lxc) do nazwy cgroup zostanie dodany przyrostek „-n”, gdzie n jest liczbą całkowitą zaczynającą się od 0.
Domyślnie uprzywilejowany kontener CN zostanie przypisany do cgroup o nazwie CN na przykład pod grupą c zadania, które uruchomiło kontener /usr/1000.user/1.session/CN. Główny kontener otrzyma prawo własności do katalogu (ale nie do wszystkich plików), aby mógł tworzyć nowe podrzędne cgroups.
Począwszy od Ubuntu 14.04, LXC używa menedżera cgroup (cgmanager) do administrowania cgroups. Menedżer cgroup odbiera żądania D-Bus przez gniazdo Unix /sys/fs/cgroup/cgmanager/sock. Aby ułatwić bezpieczne zagnieżdżanie kontenerów, linia
lxc.mount.auto = grupa
można dodać do konfiguracji kontenera, powodując /sys/fs/cgroup/cgmanager katalog, który ma być zamontowany przez wiązanie w kontenerze. Kontener z kolei powinien uruchomić serwer proxy zarządzania cgroup (domyślnie, jeśli pakiet cgmanager jest zainstalowany w kontenerze), który przeniesie /sys/fs/cgroup/cgmanager katalog do /sys/fs/cgroup/cgmanager.lower, a następnie zacznij nasłuchiwać żądań proxy na własnym gnieździe / sys/fs/cgroup/cgmanager/sock. Menedżer cgmanager hosta zapewni, że zagnieżdżone kontenery nie będą mogły opuścić przypisanych im cgroups ani wysyłać żądań, do których nie są autoryzowane.