cgroups隔离(分离组进程)

Question

我有一个关于cgroup的问题，特别是考虑到孤立。

维基百科指出，您可以使用cgroups来隔离组，这样“组就有单独的名称空间，这样它们就看不到彼此的进程、网络连接或文件”。

我已经知道如何在组之间共享或划分内存或cpu，但我想知道，例如，组或用户如何只能看到他们自己的进程( cgrules.conf和cgconfig.conf中必须有什么)。

示例：

当指定组的用户在其控制台中输入ps (或ps -aux)时，应该只列出他的进程，而不是其他用户/组(如在ps -u中)的进程。我知道我可以做一个又快又脏的编程技巧来完成这样的事情，但我想知道它是如何与cgroups一起工作的。

非常感谢您的专业知识！

Answer 1

Cgroup实际上并不具备提供完整的名称空间隔离的能力。您正在寻找的是Linux容器(LXC) -- http://lxc.sourceforge.net/。LXC使用cgroup进行资源管理，并允许您将进程容器化并将其与主机系统隔离。Libvirt还提供了一个LXC驱动程序，可以轻松地设置容器，甚至可以在容器中运行完整的操作系统。

更多来源：

• http://fedoraproject.org/wiki/Features/Securecontainers
• http://nigel.mcnie.name/blog/a-five-minute-guide-to-linux-containers-for-debian
• http://libvirt.org/drvlxc.html
• https://www.berrange.com/posts/2011/09/27/getting-started-with-lxc-using-libvirt/

Answer 2

虽然lxc是提供隔离的一个很好的解决方案，但是cgroup甚至在缓存级也有这种能力(如果处理器支持它的话)。像Mesos这样的许多集群管理器/资源管理器都在使用这些功能。使用cgset，您可以为cgroup设置IO、CPU和内存的限制。您可以在here中找到一些文档。