控制组可以实现资源的审计和限制，当用docker启动一个容器时，将会在后台为容器创建一个独立的控制组策略集合。

控制组机制始于2006年，从2.6.24版本开始引入。它提供了诸多特性，确保各个容器能够公平的分享主机的内存、CPU、磁盘、IO等资源，最为重要的是，它确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器。

尽管控制组并不负责容器之间访问的隔离，但在拒绝服务攻击（DDoS）方面是必不可少的。尤其是在多用户平台（如公有或私有的PaaS），控制组非常重要。