C# 文件系统的IO隔离 C#在多租户环境中如何使用cgroups或容器来隔离文件IO

windows 上 cgroups 不可用，.net 应用无法使用；io 隔离需应用层路径校验、容器层资源限制与 os 层权限控制协同实现。

Windows 上 cgroups 不可用，别白费劲

C# 运行在 Windows 时，cgroups 根本不存在——它是 linux 内核的机制，Windows 没有原生支持。试图在 .NET 中调用 cgroups 接口（比如通过 libcgroup 或直接写 /sys/fs/cgroup）会直接失败，或仅在 WSL2 里“看起来有效”，但和宿主 Windows 的 .NET 进程完全无关。

常见错误现象：DirectoryNotFoundException 或 UnauthorizedAccessException 出现在尝试访问 /sys/fs/cgroup 路径时；或在容器外硬编码 cgroup 路径导致部署即崩。

• Windows 容器用的是 Windows Server Containers / Hyper-V Containers，资源隔离靠 job objects 和 storage QoS，不是 cgroups
• Linux 容器中跑 .NET（如 Alpine + dotnet-runtime）才可能用到 cgroups，但那是容器运行时（dockerd / containerd）配置的，.NET 应用层不参与控制
• 不要在 C# 代码里试图读写 /sys/fs/cgroup —— 权限、路径、生命周期都不可控

.NET 自身不提供文件 IO 隔离 API

System.IO 所有类型（FileStream、Directory、Path）默认共享整个进程的文件句柄和权限上下文，没有租户维度的沙箱开关。你不能靠改某个 FileStreamOptions 参数就让 A 租户只能读 /data/tenant-a、B 租户只能读 /data/tenant-b。

使用场景：多租户 SaaS 后端需防止租户越权访问他人上传的附件、配置文件或缓存目录。

• 必须自己实现路径白名单校验，例如拦截所有 File.ReadAllText(path) 前检查 path 是否落在租户根目录下
• 避免用 Path.Combine(baseDir, userInput) 直接拼接——userInput 是 "../etc/passwd" 就完蛋
• 推荐用 Path.GetRelativePath(tenantRoot, fullPath) 判断是否为子路径，再配合 Path.IsPathFullyQualified() 拦截绝对路径

真正可行的 IO 隔离靠三层边界

不是靠某一个函数或配置项，而是操作系统层、容器层、应用层协同划界。C# 只能管好最上面一层：应用级路径裁决。

性能与兼容性影响：过度校验路径（比如每读一次都做完整归一化 + 白名单比对）会影响吞吐，尤其高频小文件操作；但比起租户数据泄露，这点开销必须承担。

• OS 层：Linux 用 chroot（不推荐）或容器 rootfs + mount --bind 绑定租户专属目录；Windows 用 NTFS 权限 + SetNamedSecurityInfo 锁定目录 ACL
• 容器层：Docker run 时用 --read-only、--tmpfs、--storage-opt size= 限制磁盘配额，cgroup v2 的 io.max 控制 IObps/iops（仅 Linux）
• 应用层（C#）：所有 IO 入口统一走封装方法，例如 TenantFileSystem.ReadText(tenantId, "config.json")，内部自动拼路径 + 校验 + 记录审计日志

租户路径校验的最小可靠示例

别信网上那些只做 Contains("..") 的“防护”——绕过太容易。下面这段是生产可用的底线逻辑：

public static bool IsUnderTenantRoot(string tenantRoot, string candidatePath) {     var normalized = Path.GetFullPath(candidatePath);     var root = Path.GetFullPath(tenantRoot) + Path.DirectorySeparatorChar;     return normalized.StartsWith(root, StringComparison.Ordinal); }

注意：Path.GetFullPath 会解析 .. 和 .，但不会处理符号链接（symlink）。如果租户目录下允许软链，还得额外调用 File.GetAttributes 检查 FileAttributes.ReparsePoint 并拒绝。

容易被忽略的地方：Windows 路径大小写不敏感，但 StartsWith 默认敏感；Linux 下挂载点可能跨文件系统，GetFullPath 无法识别绑定挂载导致误判。这些边界情况不出问题时没人查，一出就是数据混访。