使用cgroups作为用户来设置用户创build的systemd作用域的MemoryLimit

相关： 使subprocess的整体内存使用率

有没有一种方式让非特权用户或root用户允许非特权用户创build一个systemd作用域（或由systemdpipe理的其他控制组），以便该作用域的内存使用量是有限的，并且该限制可由用户？

或者，为什么这不能达到上述效果：

$ systemd-run --scope --user --unit=limit-test.scope bash Running as unit limit-test.scope. $ systemctl show --user limit-test.scope |grep Mem MemoryAccounting=no MemoryLimit=18446744073709551615 $ systemctl set-property --user limit-test.scope MemoryAccounting=yes $ systemctl set-property --user limit-test.scope MemoryLimit=100M $ systemctl show --user limit-test.scope |grep Mem MemoryAccounting=yes MemoryLimit=104857600 $ python >>> a = [1]*1000000000 # happily eats 7.4G of RAM 

我正在使用systemd 215对Debian unstable进行testing。内核是3.18.2，并且用所需的支持编译，我相信：

• 为什么空闲服务器上的RAM使用率如此之高？
• 如何释放PHP-FPM内存？
• 限制每个用户的私有内存使用量
• 如何限制Apache的subprocess内存使用情况？
• 不断增加的内存使用情况由PHP的FMP？

 $ zgrep -E 'CGROUP|MEMCG' /proc/config.gz CONFIG_CGROUPS=y # CONFIG_CGROUP_DEBUG is not set CONFIG_CGROUP_FREEZER=y CONFIG_CGROUP_DEVICE=y CONFIG_CGROUP_CPUACCT=y CONFIG_MEMCG=y CONFIG_MEMCG_SWAP=y CONFIG_MEMCG_SWAP_ENABLED=y CONFIG_MEMCG_KMEM=y # CONFIG_CGROUP_HUGETLB is not set CONFIG_CGROUP_PERF=y CONFIG_CGROUP_SCHED=y CONFIG_BLK_CGROUP=y # CONFIG_DEBUG_BLK_CGROUP is not set CONFIG_NETFILTER_XT_MATCH_CGROUP=m CONFIG_NET_CLS_CGROUP=y CONFIG_CGROUP_NET_PRIO=y CONFIG_CGROUP_NET_CLASSID=y 

/etc/systemd.system.conf设置这些参数，但没有别的：

 DefaultCPUAccounting=yes DefaultBlockIOAccounting=yes DefaultMemoryAccounting=yes 

我真正想要实现的是一种限制RSS的方法，作为一个非特权用户，一个进程（或一组进程），而不限制虚拟内存，即ulimit -v不在。

 $ systemd-run --scope --user --unit limit-test.scope -p MemoryAccounting=yes -p MemoryLimit='10M' bash 

 $ systemctl show --user limit-test.scope | grep Mem MemoryCurrent=18446744073709551615 MemoryAccounting=yes MemoryLimit=10485760