我有一个关于cgroups的问题,特别是考虑到隔离问题.

维基百科说,你可以使用cgroup来隔离组,这样就有了“组的独立命名空间,所以它们看不到彼此的进程,网络连接或文件”.

我已经知道,如何在组之间共享或划分内存或CPU,但是想知道,组或用户如何只能看到自己的进程(例如cgrules.conf和cgconfig.conf中的内容).

例：

当指定组的用户在其控制台中输入ps(或ps -aux)时,只应列出其进程,而不是其他用户/组的进程(如ps -u中所示).
我知道我可以做一个快速而肮脏的编程方法来完成这样的事情,但我想知道它如何与cgroups一起工作.

非常感谢您的专业知识！

解决方法

Cgroup实际上没有能力提供全面的命名空间隔离.您正在寻找的是
Linux容器(LXC) –
http://lxc.sourceforge.net/.LXC使用cgroup进行资源管理,并允许您将进程容器化并将它们与主机系统隔离. Libvirt还提供了一个LXC驱动程序,可以轻松设置容器,甚至可以在容器中运行完整的操作系统.

更多来源：

> http://fedoraproject.org/wiki/Features/Securecontainers
> http://nigel.mcnie.name/blog/a-five-minute-guide-to-linux-containers-for-debian
> http://libvirt.org/drvlxc.html
> https://www.berrange.com/posts/2011/09/27/getting-started-with-lxc-using-libvirt/