容器资源隔离基础是Linux中各种namespace对资源的隔离。但是Linux中并不是所有的资源都可以使用namespace来隔离，比如SELinux、time、syslog。namespace的隔离也是不全面的，比如/proc 、/sys 、/dev/sd*没有完全隔离。

也就是说在容器中执行一些抓取上面没有完全隔离的目录时，获取的是宿主机上的信息。比如命令free，free主要读取/proc或/sys目录

Docker的设计者也意识到这样确实存在很大不便，于是从Docker在1.8版本以后将分配给容器的cgroup资源挂载到容器内，可以直接在容器内部查看到cgroup资源隔离情况。

在容器内读取cgroup资源限制

#查看容器核数，除100000
cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us 
#获取内存使用
cat /sys/fs/cgroup/memory/memory.usage_in_bytes 
cat /sys/fs/cgroup/memory/memory.limit_in_bytes 
#注意这里已经使用的内存usage_in_bytes是包含cache的，详细的情况可以从/sys/fs/cgroup/memory/memory.stat中获取
#查看容器是否设置oom，oom_kill_disable默认为0表示开启
cat /sys/fs/cgroup/memory/memory.oom_control 
#获取磁盘io
cat /sys/fs/cgroup/blkio/blkio.throttle.io_service_bytes
#获取网卡出入流量
cat /sys/class/net/eth0/statistics/rx_bytes 
cat /sys/class/net/eth0/statistics/tx_bytes

https://www.li-rui.top/2018/12/25/docker/docker%E4%B8%ADjdk%E4%BC%98%E5%8C%96/
https://royvanrijn.com/blog/2018/05/java-and-docker-memory-limits/

https://docs.docker.com/release-notes/docker-engine/#180-2015-08-11