Hi,  I disabled the cgoroup mount in container and used  apparmor to restrict the mounting of cgroup. <br>it works. <br><br>I will try the user namespace laster with a new kernel. thx Gao feng .<br><br><div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">------------------<br>:)<br></div></div><div> </div><div><div><br></div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ 原始邮件 ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>发件人:</b> "止语"<zhongjj@foxmail.com>;</div><div><b>发送时间:</b> 2013年8月26日(星期一) 下午5:17</div><div><b>收件人:</b> "Gao feng"<gaofeng@cn.fujitsu.com>; <wbr></div><div><b>抄送:</b> "libvirt-users"<libvirt-users@redhat.com>; <wbr></div><div><b>主题:</b> Re: [libvirt-users]回复：  How to deal with LXC cgroup access control withapparmor ?</div></div><div><br></div>OOPS:<br>      "If I do not want to disable the cgroup in container" ==> "If I do want to disable the cgroup in container" <br>      I meant if the user namespace not enabled in kernel ...<br><br>thx ,I will try user namespace later. I am not working on x86 and not suer wheather the usernamespace is ok in the kernel I am going to use.<br>I would try to disable the cgroup in lxc first. <br><br>THX to Gao feng .<br><br><br><br><div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">------------------</div><div style="font-size:14px;font-family:Verdana;color:#000;"><div>止语</div></div></div><div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Gao feng"<gaofeng@cn.fujitsu.com>;</div><div><b>Date: </b> Mon, Aug 26, 2013 05:07 PM</div><div><b>To: </b> "jj"<jj@yuzao.org>; <wbr></div><div><b>Cc: </b> "libvirt-users"<libvirt-users@redhat.com>; <wbr></div><div><b>Subject: </b> Re: [libvirt-users]回复：  How to deal with LXC cgroup access control withapparmor ?</div></div><div><br></div>On 08/26/2013 04:36 PM, jj wrote:<br>> thx, Gao feng,<br>> If I do not want to disable the cgroup in container , is there any config file ? or  do i have to do something to the libvirt source code<br>> to skip it ?<br>> <br>>  <br><br>Sorry, I don't quite understand what's your request.<br>enable user namespace doesn't disable cgroup in container, it will make user<br>in container has no rights to change the setting of cgroup.<br><br>Thanks<br><br>_______________________________________________<br>libvirt-users mailing list<br>libvirt-users@redhat.com<br>https://www.redhat.com/mailman/listinfo/libvirt-users<br>..<br><br></div></div>