本文介绍了如何使用 Go 语言构建一个最小的容器运行时，涵盖容器的创建、启动、执行命令、信号处理和资源清理等功能。重点讲解了 reexec 技巧、cgroup 设置、rootfs 管理和网络配置。与 runc 相比，miniruntime 的代码量更少，但核心思路相似，后续将实现 OCI 规范兼容。

本文介绍了如何从零实现一个OCI兼容的迷你容器运行时，重点讨论Linux的namespace机制。通过使用clone()系统调用，创建独立的PID、UTS、Mount和IPC namespace，使进程在容器内拥有独立环境。文章还提到PID 1的特殊责任，包括回收僵尸进程和信号转发。最后强调容器技术是内核提供的隔离机制，核心在于namespace与cgroup的结合。

本系列文章从零开始实现容器运行时，深入解析Linux内核机制，如namespace和cgroup，适合熟悉Linux和编程的读者。内容包括安全加固、性能优化及与microVM的比较，最终构建OCI兼容的迷你运行时。

cgroup v2 是 cgroup v1 的升级版，提供更统一的资源管理和隔离。Kubernetes 默认支持 cgroup v2，但实际使用依赖于宿主机内核。Ubuntu 20 默认使用 cgroup v1，而 Ubuntu 22 则使用 cgroup v2。升级 cgroup 版本需在内核 5.4 及以上进行配置。

eBPF程序在Linux内核网络栈中的应用涵盖多个层次，包括XDP、TC和cgroup等。本文分析了七类网络eBPF钩子的实现及应用，探讨了TC BPF的direct-action模式和多程序链机制，cgroup BPF的网络策略控制，以及socket ops在TCP生命周期中的作用。这些钩子使得构建高性能网络数据面成为可能，适用于负载均衡和安全策略等场景。

Go团队提出新提案，自动优化容器内GOMAXPROCS，以解决Kubernetes中因CPU限制引发的性能问题。该提案将使GOMAXPROCS值自动适应Cgroup的CPU配额，从而提升Go应用性能，减轻开发者的配置负担。

BitNinja需要约1GB RAM运行，可通过配置减少内存使用。调整恶意软件检测、Shogun和证书矿工模块的内存。启用云AI扫描可减轻服务器负担。服务器需支持Cgroup限制CPU资源。WAF和HAproxy模块的内存不可调整，调整需谨慎以免影响性能。

CentOS社区停止支持后，选择AlmaLinux作为替代方案，介绍了从CentOS迁移Kubernetes集群节点到AlmaLinux的最佳实践，包括移除dockershim和利用cgroup v2进行节点资源管理。cgroup v2提供更强大、动态和增强的资源分配管理，具有更好的可维护性、兼容性和性能。迁移过程中的问题已解决，计划逐步推广采用基于Cgroup V2的机器。

本文介绍了在Docker容器中使用cgroup v2的方法，解决了内存使用超过限制导致容器终止的问题。通过添加--privileged和--cgroupns=host参数，作者成功控制了容器内的cgroups，保护了关键的自动恢复守护程序。这种设置对于维持模糊测试实验的弹性和效率非常重要。

本文介绍了华为云GaussDB(DWS)中cgroup、资源池和用户之间的关系，展示了相关对象的创建过程，详细介绍了cgroup的分布情况和资源池的限制，讨论了默认资源池和多租户场景下的用户分布情况。

本文介绍了Linux页面缓存的逐出策略、清除方法和内存控制器cgroup的作用，同时介绍了mmap()和cgroup v2的特点，以及如何使用/sys/fs/cgroup文件来查看cgroup限制和统计数据。最后，提到了关闭交换空间对某些Java应用程序的影响。

本文介绍了在Linux操作系统下使用cgroup对应用进行资源限制的实现细节，包括内存、CPU和cpuset的限制。同时提供了一个使用cgroup限制内存和CPU的Docker示例和相关代码实现细节。