Linux Cgroup限制用户资源与容器底层原理实战

时间：2026-06-03 06:09

在Linux系统运维中，我们经常需要为特定用户配置资源上限，例如限制开发账号的内存占用，或防止测试用户过度消耗CPU资源。许多运维人员误以为Cgroup（控制组）可以直接根据用户名来实施资源限制。然而实际情况是，Cgroup的底层运作机制并非如此直接。 Cgroup 本身并不识别「用户」，只识别「进

在Linux系统运维中，我们经常需要为特定用户配置资源上限，例如限制开发账号的内存占用，或防止测试用户过度消耗CPU资源。许多运维人员误以为Cgroup（控制组）可以直接根据用户名来实施资源限制。然而实际情况是，Cgroup的底层运作机制并非如此直接。

Linux下使用Cgroup限制特定用户的资源占用容器底层原理实战

Cgroup 本身并不识别「用户」，只识别「进程组」；若要限制特定用户的资源使用，必须将该用户启动的所有进程统一纳入某个 cgroup，再通过 systemd 或手动挂载配合进程迁移来实现。

先给出明确结论：Cgroup 本身并不直接识别「用户」，其操作对象是「进程组」。要想为特定用户设定资源限制，必须把该用户产生的所有进程集中归入某个 cgroup，然后通过 systemd 或手动挂载加进程迁移的方式完成绑定。绕过这层映射关系，所有配置都将失效。

为什么 cgroup 不能直接按用户名限制资源

cgroup 属于内核级机制，其管控对象是进程（pid）及其所属的控制组，而非 UID 或用户名。系统中并不存在 user.max_memory 或 uid.1001.cpu_quota 这类接口。即便你通过 useradd 创建了用户，内核也不会直接感知其「用户身份」，内核只关心该用户启动的进程被分配到了哪个 cgroup。

所有基于用户名的资源限制，其本质都是「在用户登录或启动服务时，自动将其进程加入预设的 cgroup」。
systemd 是当前最可靠、默认启用的自动化实现路径；手动方式容易遗漏子进程或通过 fork 产生的新进程。
如果你使用的是 cgroup v2（RHEL 9 / Ubuntu 22.04+ 默认采用），/sys/fs/cgroup/user.slice 下已存在按 UID 组织的层级结构，但这只是 systemd 的规则约定，并非内核原生支持。

用 systemd 为用户会话设置内存/CPU 限制（推荐方案）

这是现代 Linux 发行版中最稳定、最易于维护的实践方式，依赖 logind 和 systemd --user 自动为用户创建 slice。

编辑 /etc/systemd/logind.conf，取消注释并修改参数：
UserTasksMax=512（限制单个用户的最大进程数）
RuntimeDirectoryMode=0755（确保运行时目录权限正确）
为特定 UID 创建 slice 配置：
新建文件 /etc/systemd/system/user-1001.slice.d/limits.conf，写入以下内容：
```
[Slice]
MemoryMax=2G
CPUQuota=30%
```
重载配置并生效：sudo systemctl daemon-reload && sudo systemctl kill --kill-who=all --signal=SIGTERM user-1001.slice（强制下次登录时生效）
验证方法：执行 loginctl show-user 1001 | grep Memory，或查看 /sys/fs/cgroup/user.slice/user-1001.slice/memory.max

手动将已有进程迁入 cgroup（调试或临时场景）

此方法适用于未使用 systemd 登录的环境，或需要立即干预某个失控进程的情况。注意：该操作仅对当前进程有效，新 fork 出的子进程不会自动继承。

确认 cgroup v2 已启用：mount | grep cgroup 应显示 type cgroup2
创建用户专属 cgroup：sudo mkdir -p /sys/fs/cgroup/user-john
设置内存上限：echo "2147483648" | sudo tee /sys/fs/cgroup/user-john/memory.max
配置 CPU 配额（例如限制为 1 核）：echo "100000" | sudo tee /sys/fs/cgroup/user-john/cpu.max
将目标进程 PID 加入 cgroup：echo 12345 | sudo tee /sys/fs/cgroup/user-john/cgroup.procs
⚠️ 注意事项：如果进程已 fork 出多个子进程，cgroup.procs 只会移入线程组 leader；需要借助 tasks 文件逐个写入所有 tid，或改用 systemd-run --scope 启动整个进程树

systemd-run --scope 启动受控命令（最简便的可控方式）

此方案适合脚本化操作、CI/CD 流程或运维临时任务，能够天然捕获整个进程树，无需手动迁移。

限制某条命令最多使用 512MB 内存和 0.5 核 CPU 资源：
systemd-run --scope -p MemoryMax=512M -p CPUQuota=50% --uid=1001 bash -c 'sleep 300'
查看效果：执行 systemctl status run-rXXXXX.scope，或读取对应 cgroup 路径下的 memory.current 和 cpu.stat
注意：--scope 模式不会持久化，进程退出后即自动销毁；若需长期守护运行，请改用 --unit=xxx.service

实际运维中最容易被忽视的是子进程继承问题——无论采用哪种方式，只要没有显式使用 systemd-run --scope 或完整的 slice 配置，通过 fork 产生的后台任务、shell 子命令、nohup 进程等很可能逃脱资源限制。这并不是配置写错了，而是 cgroup 的设计逻辑使然：它管控的是「谁启动了你」，而不是「你是谁」。

来源：https://www.php.cn/faq/2408370.html

linux

上一篇麒麟OS磁盘修复工具检查坏道方法 下一篇Win11彻底阻断联网更新关闭更新并设置按流量计费

本站内容用于信息整理与展示，如有侵权或内容问题请及时联系处理。

同类最新

继续查看同栏目最近更新的文章。

系统平台 · 2026-06-03

Windows系统关闭完成设备设置提示禁用开机引导方法

Windows开机时“完成设备设置”提示常因OOBE流程未完成、账户同步残留或系统推荐服务引起。本文提供五种解决方法：关闭登录选项中的自动设置复原；禁用系统通知中的引导提示；清除本地OOBE缓存；修改注册表标记OOBE已完成；关闭账户同步的设置推荐服务。用户可按需选择处理。

系统平台 · 2026-06-03

Win10更新后变卡，关闭更新恢复系统流畅度

电脑刚刚完成Windows 10更新，却感觉运行变得迟钝？鼠标拖拽不顺畅，程序启动缓慢，风扇持续高速运转——这是不少用户都曾遇到的困扰。别急着认定是硬件老化，问题很可能就出在本次更新上。新补丁有时会引发驱动兼容性问题，或意外激活某些非必要的后台服务，导致系统资源被悄悄消耗。不必担心，以下方法能帮你

系统平台 · 2026-06-03

Win11更新导致音频服务消失修复声卡服务教程

Win11系统更新后，任务栏音量图标突然失效，设备管理器中声卡驱动显示正常却没有任何声音输出——如果你正被这个问题困扰，那很可能是系统更新误删了音频服务的核心注册表配置。别担心，这通常不是硬件故障，只需按照以下系统化修复步骤操作，大概率能恢复音频功能。一、强制重建音频服务注册表与可执行路径声音消

系统平台 · 2026-06-03

统信UOS系统管理启动内核并切换旧版本的方法

在使用统信UOS系统时，系统更新后新内核与硬件出现兼容性问题并不罕见——例如网卡突然无法连接、显卡渲染出现异常，或是触摸板完全失灵。遇到这种情况不必急着重装系统，多数时候只需手动切换回一个经过验证的旧版内核，问题就能顺利解决。下面这份操作指南将带你一步步完成从排查到永久切换的完整流程。一、查看当前

系统平台 · 2026-06-03

Win11系统托盘永久显示关闭自动隐藏技巧

你是否也曾为Windows 11任务栏右下角的系统托盘图标自动隐藏而感到困扰？常用的网络、音量或第三方应用图标总是悄悄“折叠”起来，必须点击那个小箭头才能展开查看。这其实是系统默认的“动态隐藏”策略在起作用，旨在保持任务栏简洁。但如果你和我一样，更希望所有图标一目了然、随时可用，那么彻底关闭这个自动