摘要：问题现场 用户反馈安装了某个 containerd 版本的节点无法正常拉起容器，业务场景是在 K8S Pod 里面运行一个 Docker，在容器里面通过 docker 命令再启动新的容器。 报错信息如下： $ docker run -it ubuntu /bin/bash docker: Error 阅读全文

摘要：Kubelet Watch 到新增的 Pod，需要做的主要有以下几件事： 管理 Pod 状态，除了更新本地缓存，还要同步给 API server 计算节点的资源是否足够创建 Pod 创建 Cgroup 并更新资源配置 创建 Pod、存储卷、插件的根目录 挂载存储卷并等待所有存储卷挂载成功 获取 im 阅读全文

摘要：Memory 子系统主要完成两件事： （1）控制一组进程使用内存资源的行为； （2）统计 cgroup 内进程使用内存资源的信息。在实际业务场景中，主要是为了避免某些应用大量占用内存资源（可能是由于内存泄漏导致）从而导致其他进程不可用。当 cgroup 中的进程组占用内存资源达到设置的阈值后，系统会 阅读全文

摘要：容器原理之cgroup。cgroup（control group）是一个内核特性，用于限制、统计、隔离一组进程的资源（CPU、内存、磁盘、网络等）。 阅读全文

摘要：inotify，fanotify，setns基本概念和示例，最终实现通过 fanotify 监听容器中的文件系统事件。 阅读全文