Montaż cgroups wewnątrz kontenera dokowania

Question

I dokował komponent następujący po modelu procesu. Proces główny sam się wiele razy zadaje. Chcę ustalić hierarchię grupy cgroup wewnątrz kontenera docker, aby zmienić limit procesora i pamięci dla każdego procesu.

Czy jest sposób, w jaki mogę to zrobić bez używania "--privileged" lub "CAP_SYTEM_ADMIN"?

Czy istnieje sposób, w jaki mogę utworzyć grupę, do której należy kontener, jako podstawę podsystemu podgrupy, którą wdrażam dla procesów? (Podziel zasoby przydzielone do kontenera między procesy).

Answer 1

Doszedłem do wniosku, że nie ma obecnie rozwiązania, ponieważ Docker nie obsługuje wirtualizacji cgroup ani jądra systemu Linux. Potrzebujemy jakiejś formy wirtualizacji cgroup w celu implementacji cgroups w kontenerze.

lxc robi to za pomocą bezpiecznika rozwiązanie oparte o nazwie lxcfs: https://linuxcontainers.org/lxcfs/introduction/

Ponadto, nie jest to poprawka jądra, który obsługuje nazw cgroup który w miarę widzę nie zostały zatwierdzone: https://lwn.net/Articles/605903/.