컨트롤러는 자원 상한을 커널이 지키게 한다

컨테이너 런타임은 cgroup 파일에 한도를 쓰고, 커널은 메모리, CPU, I/O, 프로세스 수를 실행 중에 강제한다.

1. 제한값 기록 런타임이 컨테이너 cgroup에 controller 값을 설정한다.
2. 커널이 강제 프로세스가 한도를 넘으면 지연, 제한, OOM 처리가 일어난다.
3. 파일로 확인 운영자는 cgroup 파일을 읽어 실제 적용 상태를 검증한다.
memory
메모리 사용량 제한 컨테이너가 지정한 최대 메모리를 넘지 못하게 한다.
memory.max
cpu
CPU 시간 배분 CPU quota나 share로 과도한 점유를 줄인다.
cpu.max
io
디스크 I/O 조절 읽기와 쓰기 대역폭이 다른 서비스에 피해를 주지 않게 한다.
io.max
pids
프로세스 개수 제한 fork 폭주가 호스트 전체 장애로 번지는 것을 막는다.
pids.max
설정값 런타임 옵션과 cgroup 파일 값이 일치하는가.
장애 격리 한 컨테이너의 폭주가 다른 서비스로 번지지 않는가.
관측 OOM, throttling, pids 제한 이벤트를 모니터링하는가.