Para que são usadas as fatias do CGroup

Fatias são um conceito do systemd. Systemd usa cgroups para implementação de baixo nível de fatias. Isso não está relacionado à proteção de memória. Todos os processos têm sua própria memória isolada sem fatias.

O cgroups faz parte da implementação de baixo nível do sistema de contêineres, que permite colocar limites nos recursos que um grupo de processos pode usar, permitindo uma divisão rígida dos recursos do sistema. Este é um problema de alocação de recursos, não um problema de compartilhamento de memória, e estar na mesma fatia não faz com que a memória seja compartilhada entre os processos.

O sistema systemd slice (com a ajuda de serviços e escopos) permite agrupar processos relacionados (por exemplo, uma sessão de usuário ou um serviço de sistema composto por vários processos). Cada fatia pode ter recursos máximos de CPU e memória alocados a ela, o que pode impedir que uma única fatia cause um ataque de negação de serviço em outras fatias, executando o sistema sem recursos. Mas também permite agrupar processos para que todos possam ser eliminados de uma só vez, por exemplo, quando um usuário faz logout (isso não está habilitado por padrão).

A página man para systemd.slicedetalhes sobre isso. A página man para systemd.resource-controllista os recursos que podem ser limitados em uma fatia.

A proposição hipotética “Eu quero fazer uso de kernel cgroups, como faço isso na nova ordem mundial?” é usado para explicar como o escopo precisa ser gerenciado e como as fatias desempenham um papel nisso para o systemd: As Novas Interfaces do Grupo de Controle

Ele destaca a capacidade de definir restrições aos membros de uma fatia que superam as permissões predefinidas concedidas ao autor do membro. Tipo como um recurso de algema legal.