上一篇文章將到 Docker 容器使用 linux namespace 來隔離其運行環境，使得容器中的進程看起來就像愛一個獨立環境中運行一樣。但是，光有運行環境隔離還不夠，因為這些進程還是可以不受限制地使用系統資源，比如網絡、磁盤、CPU以及內存 等。為了讓容器中的進程更加可控，Docker 使用 Linux cgroups 來限制容器中的進程允許使用的系統資源。

1. 基礎知識：Linux control groups

1.1 概念

  Linux Cgroup 可​​​讓​​​您​​​為​​​系​​​統​​​中​​​所​​​運​​​行​​​任​​​務​​​（進​​​程​​​）的​​​用​​​戶​​​定​​​義​​​組​​​群​​​分​​​配​​​資​​​源​​​ ― 比​​​如​​​ CPU 時​​​間​​​、​​​系​​​統​​​內​​​存​​​、​​​網​​​絡​​​帶​​​寬​​​或​​​者​​​這​​​些​​​資​​​源​​​的​​​組​​​合​​​。​​​您​​​可​​​以​​​監​​​控​​​您​​​配​​​置​​​的​​​ cgroup，拒​​​絕​​​ cgroup 訪​​​問​​​某​​​些​​​資​​​源​​​，甚​​​至​​​在​​​運​​​行​​​的​​​系​​​統​​​中​​​動​​​態​​​配​​​置​​​您​​​的​​​ cgroup。所以，可以將 controll groups 理解為 controller （system resource） （for） （process）groups，也就是是說它以一組進程為目標進行系統資源分配和控制。

它主要提供了如下功能：

使​​​用​​​ cgroup，系​​​統​​​管​​​理​​​員​​​可​​​更​​​具​​​體​​​地​​​控​​​制​​​對​​​系​​​統​​​資​​​源​​​的​​​分​​​配​​​、​​​優​​​先​​​順​​​序​​​、​​​拒​​​絕​​​、​​​管​​​理​​​和​​​監​​​控​​​。​​​可​​​更​​​好​​​地​​​根​​​據​​​任​​​務​​​和​​​用​​​戶​​​分​​​配​​​硬​​​件​​​資​​​源​​​，提​​​高​​​總​​​體​​​效​​​率​​​。