<div dir="ltr">Hi all,<div><br></div>I've been trying to get a deeper understanding of Linux cgroups and their use with containers/systemd over the last few months. I have a few questions, but given the amount of context around the questions I've written up my understanding in a blog post at <a href="https://www.lewisgaul.co.uk/blog/coding/2022/05/13/cgroups-intro/">https://www.lewisgaul.co.uk/blog/coding/2022/05/13/cgroups-intro/</a> and the questions in another blog post at <a href="https://www.lewisgaul.co.uk/blog/coding/rough/2022/05/20/cgroups-questions/">https://www.lewisgaul.co.uk/blog/coding/rough/2022/05/20/cgroups-questions/</a>.<div><br></div><div>If anyone has any thoughts/input/answers that would be much appreciated! I'm planning on cross-posting in a few places such as podman/docker/kernel mailing lists/communities, but in particular any input specific to the systemd oriented questions would be great.<br><div><br></div><div>To summarize the questions (taken from the second post linked above):</div><div>- Why are private cgroups mounted read-only in non-privileged containers?<br>- Is it sound to override Docker’s mounting of the private container cgroups under v1?<br></div><div>  - What are the concerns around the approach of passing '-v /sys/fs/cgroup:/sys/fs/cgroup' in terms of the container’s view of its cgroups?</div>  - Is modifying/replacing the cgroup mounts set up by the container engine a reasonable workaround, or could this be fragile?<div>- When is it valid to manually manipulate container cgroups?</div></div>  - Do container managers such as Docker and Podman correctly delegate cgroups on hosts running Systemd?<div>  - Are these container managers happy for the container to take ownership of the container’s cgroup?</div>- Why are the container’s cgroup limits not set on a parent cgroup under Docker/Podman?<div>  - Why doesn’t Docker use another layer of indirection in the cgroup hierarchy such that the limit is applied in the parent cgroup to the container?</div><div>- What happens if you have two of the same cgroup mount?</div><div>  - Are there any gotchas/concerns around manipulating cgroups via multiple mount points?</div><div>- What’s the correct way to check which controllers are enabled?<br></div><div>  - What is it that determines which controllers are enabled? Is it kernel configuration applied at boot?</div><div>  - Is it possible to have some controllers enabled for v1 at the same time as others are enabled for v2?</div><div><br></div><div>Thanks in advance,</div><div>Lewis</div></div>