cgroups是linux内核中限制、记录、隔离进程组(process groups)所使用的物理资源的机制

最新推荐文章于 2024-01-19 13:01:49 发布
最新推荐文章于 2024-01-19 13:01:49 发布
阅读量683 收藏 1
点赞数
文章标签: docker 运维 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CCTVZHENG/article/details/130031719
版权

容器虚拟化
可以实现应用程序的隔离
直接使用物理机的操作系统可以快速响应用户请求

不占用部署时间
占用少量磁盘空间
缺点∶学习成本增加、操作控制麻烦、网络控制与主机虚拟化有所区别、服务治理难。

微服务架构师需要会多门编程语言,才能治理各种服务
 

三种云平台技术的侧重点不一样,laaS是需要花时间部署虚拟机,但是容器就不用花那么多时间

laaS   虚拟机
阿里云ECS
OpenStack VM实例.

PaaS   容器
LXC

Docker

 OpenShift

Rancher

SaaS   应用程序
互联网中应用都是
 

NameSpace

一个容器就是一个namespace

六大命名空间

UTS
UTS ( UNIX Time-sharing System ) 命名空间允许每个容器拥有独立的主机名和域名,从而可以虚拟出一个有独立主机名和网络空间的环境,就跟网络上一台独立的主机一样。
IPC
容器中进程交互还是采用了Linux常见的进程间交互方法(Interprocess Communication, IPC ),包括信号、消息队列和共享内存等。PID Namespace和IPC Namespace可以组合起来一起使用,同一个IPC命名空间内的进程可以彼此可见,允许进行交互;不同空间的进程则无法交互。
Mount
类似于chroot,将一个进程放到一个特定的目录执行。挂载命名空间允许不同命名空间的进程看到的文件结构不同,这样每个命名空间中的进程所看到的文件目录彼此被隔离。
Net
通过网络命名空间,可以实现网络隔离。网络命名空间为进程提供了一个完全独立的网络协议栈的视图,包括网络设备接口、IPv4和IPv6协议栈、IP路由表、防火墙规则、sockets等,这样每个容器的网络就能隔离开来。Docker采用虚拟网络设备(Virtual Network Device )的方式,将不同命名空间的网络设备连接到一起。默认情况下,容器中的虚拟网卡将同本地主机上的docker0网桥连接在一起。
User
每个容器可以有不同的用户和组id,也就是说可以在容器内使用特定的内部用户执行程序,而非本地系统上存在的用户
每个容器内部都可以有root帐号,但跟宿主主机不在一个命名空间。通过使用隔离的用户命名空间可以提高安全性,避免容器内进程获取到额外的权限。


PID
Linux通过命名空间管理进程号,对于同一进程(即同一个task_struct ),在不同的命名空间中,看到的进程号不相同,每个进程命名空间有一套自己的进程号管理方法。进程命名空间是一个父子关系的结构,子空间中的进程对于父空间是可见的。新fork出的进程在父命名空间和子命名空间将分别有一个进程号来对应。

总结

 子进程在容器中,物理机中的就是父进程,子进程也叫线程

什么是命名空间?


应用程序运行环境隔离的空间,就是一个命名空间,每一个空间都将拥有UTS、IPC、Mount 、 Net、User、PID

Control Groups

 PAM资源限制

 

CGroups资源限制是针对进程的,主要是CPU和内存

 

CGroups九大子系统

 总结

 9大子系统
把资源定义为子系统,可以通过子系统对资源进行限制

CPU          可以控制进程使用CPU的比例,1024等份一分钟,每秒各进程占用cpu都是分比例分配的
memory          限制内存使用,例如50Mi,150Mi

blkio        限制块设备的IO,也就是限制IO流的带宽
cpuacct        生成Cgroup使用CPU的资源报告,显示各子系统占用的CPU资源

cpuset        用于多CPU执行Cgroups时,对进程进行CPU分组,例如nginx使用4颗,tomcat2颗

应用程序分配到的CPU越多,响应不一定越快

部署CGroup

第一步:安装cgroup

yum -y install libcgroup*

devel开发包和tools工具包都必须安装

 

第二步:cgconfig的开机自启设置

cgroup限制步骤


1.创建cgroup,定义相应的限制

2.分配进程到cgroup

 定义两个cpu子系统的cpu占用分片

 

 通过md5sum 进行入侵检测,判断文件是否被修改过

md5和sha1都可以计算文件的哈希值

黑洞/dev/null  白洞/dev/zero   白洞的数据是无穷无尽的适合用来测试

md5计算白洞的值一直会增加,可以测试cgroup是否能控制cpu的资源分配

可以在主机里面同时用md5和sha1计算白洞,产生两个进程

然后top查看cpu负载

 注意,运行进程之前必须分组:

之前创建了两个cpu子系统的cgroup组,和手动分配CPU占用率,1024等份就是1000分之200和800,20%和80%,限制了两个算法进程的CPU资源,这就是利用cgroup限制进程对CPU的使用。

 Linux系统中有物理内存mem和swap虚拟内存,限制内存必须一起,要不然无效

 

total:机器总内存量;
used:以用内存(tips: 包括划出来的缓存);
free:未使用内存;
shared:共享内存;
buffers:缓冲区内存;
cached:缓存;
其中:
物理已用内存 = 实际已用内存 - 缓冲 - 缓存 = 48G - 3.2G - 31G

物理空闲内存 = 总物理内存 - 实际已用内存 + 缓冲 + 缓存

应用程序可用空闲内存 = 总物理内存 - 实际已用内存

应用程序已用内存 = 实际已用内存 - 缓冲 - 缓存

一般都看第二行: -/+ buffers/cache  :第一个是-代表物理内存已使用多少,第二个是+代表空闲


 memory.memsw.limit_in_bytes=值;  限制虚拟内存swap分区

如果这个memsw限制的值减去物理内存限制的值,产生的差值就是swap空间提供的内存

cgroup限制容器的资源

已经挂载的要umount解挂之后才能重新挂载

文件缓存tmpfs


基于内存的文件系统,直接使用ram(物理内存)+swap(交换分区)

tmpfs缓存文件系统:动态的使用虚拟内存,文件删除后释放内存,没有持久性(重启失效)

2007年-Control Groups

Control Groups也就是谷歌实现的cgroups,其于2007年被添加至Linux内核当中。


 

 

CCTVZHENG
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 操作系统原理 — 进程管理 — Namespace 系统资源隔离
烟云的计算
10-01 5112
目录 文章目录目录Linux NamespaceLinux Namespace 的类型 Linux Namespace Linux Namespace(命名空间)是一种操作系统层级的资源隔离技术,能够将 Linux 的全局资源,划分为 namespace 范围内的资源,而且不同 namespace 间的资源彼此透明,不同 namespace 里的进程无法感知到其它 namespace 里面的进程资源Linux namespace 实现了 6 项资源隔离,基本上涵盖了一个小型操作系统的运行要素,包括主机
详解Docker 容器使用 cgroups 限制资源使用
09-30
本篇文章主要介绍了Docker 容器使用 cgroups 限制资源使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Hadoop YARN Cgroups 资源隔离讲解
匠人精神,持之以恒!
12-24 1227
Hadoop YARN (Yet Another Resource Negotiator) 使用 Cgroups(Control Groups)来进行资源管理和隔离CgroupsLinux 内核提供的一种机制,用于限制、账户和隔离进程组(process groups)的资源(例如 CPU、内存、磁盘 I/O 等)
linux 进程隔离Namespace 学习
岳来的博客
09-04 1199
linux 进程隔离Namespace 学习
Cgroup资源管理
qq_51574973的博客
06-13 1046
Cgroup是提供将进程进行分组化管理的功能和接口的基础结构,I/O或内存的分配控制等具体的资源管理就是通过该功能实现。Cgroup是linux内核提供的一种可以限制记录隔离进程组所使用物理资源(CPU,内存,磁盘IO)。进程在单位时间周期内是顺序运行的,每一个进程是在单位周期内时间分片运行。docker 通过Cgroup来控制容器使用资源配额,包括CPU,内存,磁盘三大方面。总结:通过Cgroup可以限制Docker容器在CPU,内存,磁盘等方面的最大使用量。容器怎么实现资源限制
CGroup之——资源隔离(管理CPU资源、控制内存资源、控制可用CPU核心)
冰河的专栏
04-18 6858
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/89388408 CGroup是一种资源隔离方案 CGroup提供了一些子系统: cpu: 可以限制使用CPU权限。 memory: 可以限制内存使用量 blockio: 限制I/O速率 cpuset: 基于CPU核心进行限制(限制可以使用哪些核) cpuacct: 记录...
Linux NameSpace 虚拟化 资源隔离
小獣专栏
07-31 761
在操作系统命名空间命名空间提供的是系统资源隔离,其系统资源包括了:进程、网络、文件系统等等实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器进程产生一个错觉,仿佛它自己置身于一个独立的系统环境当,以此达到独立和隔离的目的。Linux的namespace(名字空间)的作用就是“隔离内核资源”。在Linux的世界里,文件系统挂载点、主机名、
利用Linux虚拟化技术实现资源隔离和管理
pantouyuchiyu的博客
09-20 440
在现代计算机系统资源隔离和管理是非常重要的,特别是在多租户环境下。通过利用Linux虚拟化技术,我们可以实现对计算资源(如CPU、内存和存储)的隔离和管理,以提供安全、高效、稳定的计算环境。下面将详细介绍如何利用Linux虚拟化技术实现资源隔离和管理。
linux cgroups详细介绍
09-15
cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。这篇文章主要介绍了linux...
Linux资源管理之cgroups简介
01-09
 cgroupsLinux内核提供的一种可以限制单个进程或者多个进程使用资源机制,可以对 cpu,内存等资源实现精细化的控制,目前越来越火的轻量级容器 Docker 使用cgroups 提供的资源限制能力来完成cpu,内存等...
psi_exporter:Prometheus出口商,用于Linux内核的压力失速信息(PSI)
05-27
Prometheus出口商,用于Linux内核的(PSI)。 要求 内核必须支持PSI( CONFIG_PSI=y ),至少需要Linux 4.20。 导出指标 导出以下指标: $ curl -s http://ip6-localhost:12345/ | grep -E '(journald|^#)' # ...
Docker资源隔离(namespace,cgroups
驰兔的博客
02-18 1020
Docker容器的本质是宿主机上的一个进程。Docker通过namespace实现了资源隔离通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。cgroupsLinux的另外一个强大的内核工具,有了cgroups,不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或县城)启停等。
Docker 与 Linux Cgroups资源隔离的魔法之旅
最新发布
探索云原生
01-19 428
这篇文章主要介绍了 Docker 如何利用 Linux 的 Control Groupscgroups)实现容器的资源隔离和管理。
Cgroups资源隔离实验
xueqinglalala的博客
03-08 498
先别看这个了有点毛病 在 Linux Cgroups 给用户暴露出来的操作接口是文件系统,即它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。在 Ubuntu 16.04 机器里,可以用 mount 指令把它们展示出来,这条命令是: mount -t cgroup 查看cpu资源限制的方式 ls /sys/fs/cgroup/cpu 在对应的子系统下面创建一个目录 cd /sys/fs/cgroup/cpu mkdir xueqing_cgroup_
进程的预备知识
重学Android,保持学习
08-06 224
进程隔离 在操作系统进程进程间的内存和数据都是不共享的。两个进程就好像大海相互独立的两个岛屿,各自生活在互相平行的两个世界,互不干扰,各自为政。这样做的目的,是为了避免进程间相互操作数据的现象发生,从而引起各自的安全问题。为了实现进程隔离,采用了虚拟地址空间,两个进程各自的虚拟地址不同,从逻辑上来实现彼此间的隔离。 跨进程通信 每一个进程完成的功能有限,就像现在的你我,往往只能做一个需求里的一个或者几个任务,而不是把所有事情都给做了,就这样,每个进程就时不时需要与其他进程之间通信了。两个进程
Linux隔离技术
wwwyuewww的专栏
08-07 2246
隔离基于内核提供的一些机制和策略 虚拟化,我们最终虚拟的是资源。在计算机,典型的资源包括:CPU,内存,磁盘,网络,安全等。 现代操作系统,CPU资源基本都是被进程使用,内存为虚拟映射,磁盘一般表现为文件系统,所以上述资源可以进一步的表述为:进程、文件系统、网络、安全等。 在Linux,通过命名空间可以做到上述资源隔离。 首先,对于进程,作为系统内的执行实体,内核是以树形结构管理的。用户进程都是从祖先init进程继承而来。 通过这棵树,形成了父进程、子进程进程组、线程组、会话组等概念。通
cgroup 配置 对核,内存等限制
weixin_41855380的博客
11-07 1627
本文涉及到了cpusets等参数配置,cgrulesengd部分检错方法,以及使用过程遇到的部分错误和解决办法,欢迎对cgroup有使用需求的人浏览
linux cgroup 内存方案,使用cgroup限制某个程序对内存的使用
weixin_33305182的博客
05-11 440
线上的mongodb是复制集模式的。为了便于监控mongodb的慢查询等状态,在3台机器上都部署了packetbeat,通过抓取27017端口的流量发送到ES集群。但是第二天发现zabbix告警,显示某一台机器A(从节点)上的mongod进程宕了。日志显示是OOM导致的。再一想到,我们每天的mongodb的备份脚本是通过远程主机连接到机器A的27017端口进行dump数据的,通过对比zabbix的...
linux cgoup内存限制,Linux Cgroup系列(04):限制cgroup的内存使用(subsystem之memory)...
weixin_29337389的博客
05-09 566
有了上一篇关于pids的热身之后,我们这篇将介绍稍微复杂点的内存控制。本篇所有例子都在ubuntu-server-x86_64 16.04下执行通过为什么需要内存控制?代码总会有bug,有时会有内存泄漏,或者有意想不到的内存分配情况,或者这是个恶意程序,运行起来就是为了榨干系统内存,让其它进程无法分配到足够的内存而出现异常,如果系统配置了交换分区,会导致系统大量使用交换分区,从而系统运行很慢。站在...
linux 限制进程cpu使用
12-16
Linux系统,可以使用cgroups(控制组)来限制进程的CPU使用率。cgroupsLinux内核提供的一种资源管理机制,可以对进程进行限制隔离。 首先,需要确保系统已经安装了cgroups,并且内核支持该功能。然后,可以按照以下步骤限制进程的CPU使用率: 1. 创建一个cgroup组: ``` sudo cgcreate -g cpu:<group_name> ``` 2. 限制CPU使用率: ``` sudo cgset -r cpu.cfs_quota_us=<quota> <group_name> ``` 这里的`<quota>`表示需要限制的CPU使用率,比如需要限制为50%则可以设置为50000,表示50% * 100000(默认的每个CPU的时间单位)。 3. 将进程加入到cgroup组: ``` sudo cgclassify -g cpu:<group_name> <pid> ``` 这里的`<pid>`表示需要限制进程进程ID。 通过以上步骤,就可以限制进程的CPU使用率了。可以根据实际需求,创建多个cgroup组并设置不同的限制值,然后将不同的进程加入到对应的组,实现对多个进程的CPU使用率进行限制。如果需要取消限制,可以使用下面的命令: ``` sudo cgdelete -g cpu:<group_name> ``` 总之,Linux系统提供了cgroups机制限制进程的CPU使用率,通过创建cgroup组、设置限制值以及将进程加入到组,可以实现对进程的CPU使用率进行精确控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值