云原生时代下 K8s CGroup/CRI 的优劣势

已于 2023-10-05 11:38:23 修改
阅读量721 收藏 2
点赞数 1
分类专栏: 云原生 文章标签: kubernetes 云原生 docker
于 2022-10-26 15:42:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_ZRS/article/details/127533610
版权

k8s-1

目录

前言

在 v1.24 版本之前的 k8s 直接集成了 Docker Engine 组件,但从 v1.24 版本起,Kubernetes 项目正式移除了 Dockershim,也就是说 K8s 不再唯一支持以 Docker 作为 K8s 容器运行时。尽管移除了 Dockershim,但这并不代表 Docker 不可用,我们依然可通过容器运行时接口(CRI)来将 Docker 作为 K8s 的容器运行时。

容器运行时部署于 K8s 集群的 work 节点上,以使得 Pod 可以正常运行。

常见容器运行时:

  • Containerd
  • CRI-O
  • Docker Engine
  • Mirantis Container Runtime

一、CGroup

1.1 基本概念

CGroup 相信大家并不陌生,只要接触过 Docker 容器技术的应该都用过。CGroup 是 Linux 的一个底层技术,用于限制分配给系统进程的资源。

在我前面的 K8s 集群部署文档中,我们知道 kubelet 和底层容器运行时需要对控制组实现 Pod 和容器资源管理和限制(如 CPU、内存等资源设置请求和限制)。因此,想要对接 K8s 控制组,关键点就在于 kubelet 和容器运行时需要使用同一个 cgroup 驱动。

CGroup 驱动有一下两种:

  • cgroupfs
  • systemd

1.2 cgroupfs 驱动

1.2.1 基本概念

cgroupfs 驱动 是 kubelet 中默认的 cgroup 驱动,当使用 cgroupfs 驱动时, kubelet 和容器运行时将直接对接 cgroup 文件系统来配置 cgroup。

当你的系统是以 systemd 作为初始化时,不推荐使用 cgroupfs 驱动,因为 systemd 期望系统上只有一个 cgroup 管理器。 此外,如果你的系统使用的 cgroup v2 版本,则应用 systemd cgroup 驱动取代 cgroupfs

1.2.2 什么是 cgroup v2

Linux 中有两个 cgroup 版本:cgroup v1 和 cgroup v2。cgroup v2 是新一代的 cgroup API,cgroup v2 提供了一个具有增强资源管理能力的统一控制系统。一些 Kubernetes 特性专门使用 cgroup v2 来增强资源管理和隔离,因此,推荐使用 systemd 来作为 cgroup 驱动,从而可提升更好的资源管理效果。

如何查看 Linux 节点上的 cgroup 版本?

stat -fc %T /sys/fs/cgroup/

# 对于 cgroup v2,输出为 cgroup2fs
# 对于 cgroup v1,输出为 tmpfs

下图的 cgroup 版本为 v1

image-20221026113557429

1.2.3 cgroup v2 使用要求
  • 操作系统发行版启用 cgroup v2
  • Linux 内核为 5.8 或更高版本
  • 容器运行时支持 cgroup v2
  • kubelet 和容器运行时被配置为使用 systemd cgroup 驱动

1.3 systemd cgroup 驱动

1.3.1 基本概念

当某个 Linux 系统发行版使用 systemd 作为其初始化系统时,初始化进程会生成并使用一个 root 控制组(cgroup),并充当 cgroup 管理器。

systemd 与 cgroup 集成紧密,并将为每个 systemd 单元分配一个 cgroup。 因此,如果你 systemd 用作初始化系统,同时使用 cgroupfs 驱动,则系统中会存在两个不同的 cgroup 管理器。

同时存在两个 cgroup 管理器将造成系统中针对可用的资源和使用中的资源出现两个视图。某些情况下, 将 kubelet 和容器运行时配置为使用 cgroupfs、但为剩余的进程使用 systemd 的那些节点将在资源压力增大时变得不稳定。

当 systemd 是选定的初始化系统时,缓解这个不稳定问题的方法是针对 kubelet 和容器运行时将 systemd 用作 cgroup 驱动。

1.3.2 kubelet 设置 cgroup 驱动

如:将 systemd 设置为 cgroup 驱动

编辑 KubeletConfigurationcgroupDriver 选项,并将其设置为 systemd

apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
...
cgroupDriver: systemd

下图为我博客截图:

image-20221026120542791

注意:更改已加入集群的节点的 cgroup 驱动是一项敏感的操作。 如果 kubelet 已经使用某 cgroup 驱动的语义创建了 Pod,此时更改运行时以使用别的 cgroup 驱动,当为现有的 Pod 重新创建 PodSandbox 时会产生错误,该错误重启 kubelet 也可能无法解决此类问题,只能重新部署 K8s 集群,因此对于一个正在正常运行的 K8s 集群,我们就最好不要动其 cgroup 驱动了。

二、CRI

这里我以 Kubernetes 1.24 举例,因为我部署的就是该版本的 k8s 集群。

各位小伙伴也可以尝试以二进制方式部署一下 K8s 集群,会有很大收获。

什么是 CRI?其实 CRI 就是我们的容器运行时接口,可以通过 CRI 来实现 K8s 来集成不同的容器组件。

首先,对于 Kubernetes 1.24 集群,你的容器运行时必须至少支持 v1alpha2 版本的容器运行时接口。因为 Kubernetes 1.24 默认使用 v1 版本的 CRI API。如果容器运行时不支持 v1 版本的 API, 则 kubelet 会回退到使用(已弃用的)v1alpha2 版本的 API。

2.1 Containerd

2.1.1 基本概念

什么是 Containerd ?这里不过多解释,简单的说:Containerd 不需要经过 dockershim,是一个工业级标准的容器运行时,它强调简单性、健壮性和可移植性。在 Linux 上,containerd 的默认 CRI 套接字是 /run/containerd/containerd.sock

2.1.2 配置 CGroup 驱动

以 systemd 驱动为例

1、安装 Containerd

2、生成配置文件

mkdir -p /etc/containerd && containerd config default > /etc/containerd/config.toml

3、修改配置文件

vim /etc/containerd/config.toml

...
SystemdCgroup = true
# 将 SystemdCgroup = false 改为 SystemdCgroup = true
...
sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.7"
# 将 sandbox_image = "k8s.gcr.io/pause:3.6" 改为:sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.7"

4、启动 Containerd

systemctl enable containerd && systemctl start containerd

2.2 CRI-O

2.2.1 基本概念

对 CRI-O 没有过多的研究,CRI-O 是一个由 redhat 发起并开源且由社区驱动的 container-runtime,专为 K8s 而生。这里就不过多介绍,感兴趣的化可以深入研究。

CRI-O 默认使用 systemd cgroup 驱动程序,可编辑 /etc/crio/crio.conf 或在 /etc/crio/crio.conf.d/02-cgroup-manager.conf 中放置一个插入式配置,具体操作如下。

2.2.2 配置 CGroup 驱动
[crio.runtime]
conmon_cgroup = "pod"
cgroup_manager = "cgroupfs"
...
[crio.image]
pause_image="registry.aliyuncs.com/google_containers/pause:3.7"
...

# 将 pause_image="registry.k8s.io/pause:3.6" 改为 pause_image="registry.aliyuncs.com/google_containers/pause:3.7"

当使用 CRI-O 时,并且 CRI-O 的 cgroup 设置为 cgroupfs 时,必须将 conmon_cgroup 设置为值 pod

2.3 Docker Engine

2.3.1 基本概念

Docker 就不用多说,各位想必再熟悉不过了。想要使用 docker 作为 k8s 的编排对象,那需要安装 cri-docker 来作为 dockershim。对于 cri-dockerd,默认情况下,CRI 套接字是 /run/cri-dockerd.sock

cri-docker 源码安装地址:https://github.com/Mirantis/cri-dockerd

2.3.2 配置 CGroup 驱动

修改 CGroup 为 systemd

image-20221026150427417

修改沙箱镜像为国内源

...
[Service]
Type=notify
ExecStart=/usr/local/bin/cri-dockerd --container-runtime-endpoint fd:// --network-plugin=cni --pod-infra-container-image=registry.aliyuncs.com/google_containers/pause:3.7
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always
...

# 在 ExecStart= 部分添加即可

修改完成后重启 Docker 即可

systemctl restart docker.service

2.4 Mirantis

Mirantis Container Runtime (MCR) 是一种商用容器运行时,以前称为 Docker 企业版,可以使用 MCR 中包含的开源 cri-dockerd 组件将 Mirantis Container Runtime 与 Kubernetes 一起使用。

更多 Mirantis 相关知识,可阅读其官方文档。

看了这么多容器运行时,没有谁好谁坏,适合自己公司业务的就是最好的

<点击跳转至开头>

云计算-Security
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
cgroups以及在K8s中的应用 - CPU
每天都要开心呀(#^.^#)
06-28 895
Cgroups 是 Control Groups 的缩写,由 Linux内核提供。用于限制、记录和隔离进程组使用的物理资源(CPU、内存、i/o)。
云原生面试重难点解析.pdf
12-21
云原生领域,面试通常会涵盖多个技术层面和软技能。以下是对这些面试问题的详细解析,旨在帮助你理解和准备云原生岗位的面试。 1. **项目介绍与技术难度**:面试官询问你投入最多的项目,实际上是想了解你的项目...
K8s如何启用cgroup2支持?
east4ming的博客
11-16 1070
什么是 cgroup 📚️Reference: control groups(控制组),通常被称为cgroup,是Linux内核的一项功能。它允许将进程组织成分层的组,然后限制和监控各种资源的使用。 内核的cgroup接口是通过一个叫做cgroupfs的伪文件系统提供的。 分组是在核心的cgroup内核代码中实现的,而资源跟踪和限制是在一组每个资源类型的子系统中实现的(内存、CPU等等)。 cgroup 是容器和云原生的底层技术栈. kubelet 和 CRI 都需要对接 cgroup 来强制执行为 P
Kubernetes 文档 / 概念 / Kubernetes 架构 / 关于 cgroup v2
最新发布
houzhizhen的专栏
05-11 455
API 中单个统一的层次结构设计更安全的子树委派给容器更新的功能特性, 例如压力阻塞信息(Pressure Stall Information,PSI)跨多个资源的增强资源分配管理和隔离统一核算不同类型的内存分配(网络内存、内核内存等)考虑非即时资源变化,例如页面缓存回写。
跟Marko学习k8s--Docker相关的核心技术之cgroups
咸鱼的梦想专栏
08-23 279
cgroups被Linux内核支持。在很多领域可以取代虚拟化技术分割资源,cgroup默认有诸多资源组,可以限制几乎所有服务器上的资源,例如: --cup --mem --iops --iobandwide --net --device acess ...
源码逐层分析k8s中的 Cgroup
Kason_iWiki
10-21 1230
文章目录源码逐层分析Kubernetes 中的 CgroupCgroup 简介K8s中的Cgroups容器级别的CgroupPod级别的CgroupQoS级别的Cgroup节点Node级别的Cgroup探索Cgroup文件结语 源码逐层分析Kubernetes 中的 Cgroup 我们知道 Linux cgroupDockerKubernetes 等容器技术奠定了资源限制的基础。 Kubernetes是一种管理和编排大量容器的工具。并且在配置或部署 Pod 时,用户可以通过资源的请求和限制将资源分
查看k8s使用的Cgroup Driver
wangshiqi666的博客
06-23 1275
k8s查看Cgroup Driver
kmem问题造成K8S中pod内存溢出
01-20
Kubernetes(K8S)集群中,当遇到“kmem问题造成K8S中pod内存溢出”的情况,这通常意味着内核内存(kernel memory)的使用超过了预期限制,导致了Pod无法正常运行或者性能下降。内核内存是操作系统用于内部数据结构和...
ansible安装k8s,1.25
02-12
Kubernetes(简称k8s)则是一个领先的容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。本教程将详细介绍如何使用Ansible来安装和配置Kubernetes集群,版本为1.25。 首先,我们需要确保所有服务器节点...
YARN 与 K8s 的容器化资 源混部实践
11-10
YARN 与 K8s 的容器化资源混部实践 YARN 与 K8s 的容器化资源混部实践是当前大数据应用业务规模扩展、数据指数增长、数据中心规模扩大、成本增加的解决方案。该方案旨在解决资源使用不均衡、在线资源冗余、离线资源...
Linux/Android cgroup架构分析研究总结
02-08
例如,`/sys/fs/cgroup/cpu`用于管理CPU使用,`/sys/fs/cgroup/memory`用于内存控制。在Android系统中,cgroup控制器的配置通常在`/system/etc/cgroups.json`文件中定义,由init进程自动mount并应用配置。 F2_F3 ...
k8s 基于 cgroup 限制资源使用量(capacity enforcement):模型设计与代码实现
小胡子
01-28 1201
k8s 基于 cgroup 限制资源使用量(capacity enforcement):模型设计与代码实现
kubernetes/k8s源码分析】 kubelet pod cgroup 源码分析
zhonglinzhang
06-20 3107
创建 pod 时,为其设置资源限额 cgroup syncPod -->kl.containerManager.NewPodContainerManager -->pcm.Exists(pod) --> kl.containerManager.UpdateQOSCgroups() 1.NewPodConta...
【转载】K8S 问题排查:cgroup 内存泄露问题
我的博客
10-26 7283
【转载】K8S 问题排查:cgroup 内存泄露问题 原文:http://www.xuyasong.com/?p=2049 前言 这篇文章的全称应该叫:[在某些内核版本上,cgroup 的 kmem account 特性有内存泄露问题],如果你遇到过 pod 的 cannot allocated memory 报错,node 内核日志的 SLUB: Unable to allocate memory on node -1 报错,那么恭喜你中招了。 这个问题在 pingcap 文章 和腾讯云的官方修复都发
【博客497】k8s cgroup原理完整剖析
qq_43684922的博客
09-17 1887
Kubernetes 中设置的 cpu requests 最终会被 cgroup 设置为 cpu.shares 属性的值, cpu limits 会被带宽控制组设置为 cpu.cfs_period_us 和 cpu.cfs_quota_us 属性的值。与内存一样,cpu requests 主要用于在调度时通知调度器节点上至少需要多少个 cpu shares 才可以被调度。
K8s 选 cgroupfs 还是 systemd?这是一个问题
云原生实验室
07-13 937
❝本文转自 DevopsApple,原文:https://xyz.uscwifi.xyz/post/C6TKCS8wZ/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang什么是 cgroupCgroup 是一个 Linux 内核特性,对一组进程的资源使用(CPU、内存、磁盘 I/O 和网络等)进行限制、审计和隔离。cgroups(Cont...
k8s学习记录5_容器Cgroup和Namespace特性简介
u010173306的专栏
03-28 1455
Cgroup是Control group控制组的意思,主要做资源控制,将一组进程放在一个控制组里,通过给这个控制组分配指定的可用资源,达到控制这一组进程资源的目的。 Namespace Namespace又称为命名空间,将对象分割成完全独立且不重叠的组。(有待完善) Cgroup Cgroup是control group,又称为控制组,它主要是做资源控制。原理是将一组进程放在放...
k8s--架构基础--cgroup v2
IT艺术家-rookie的博客
09-26 1475
cgroup v2是Linux cgroup API的下一个版本。cgroup v2提供了一个统一的控制系统,具有增强的资源管理能力。单一统一的层次结构设计更安全的子树委派给容器支持新特性,如Pressure Stall Information(压力停顿信息)提供跨多个资源的增强资源分配管理和隔离对不同类型的内存分配(网络内存、内核内存等)进行统一的记账记账非即时资源变化,例如页面缓存写回某些Kubernetes特性专门使用cgroup v2来增强资源管理和隔离。
关于k8s的隔离namespace与cgroup
qq_43340814的博客
08-24 2819
容器技术中一个非常重要的概念,容器是一个单进程模型。 用户的应用进程就是容器里面PID=1的进程,其他后续创建的进程都是这个进程的子进程,意味着你没法运行两个不同的应用,除非找到一个公共的PID=1的程序来充当两个不同程序的父进程。 关于两者关系 namesapce主要是隔离作用,cgroups主要是资源限制,联合文件主要用于镜像分层存储和管理,runC是运行时,遵循了oci接口,一般来说基于libcontainer。网络主要是docker单机网络和多主机通信模式。 namespace 是用来做资源隔离,
k8s cgroup
08-05
Kubernetes (k8s) 是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。而 cgroup(Control Group)是 Linux 内核提供的一种机制,用于限制、隔离和控制进程组的资源使用。 在 Kubernetes 中,cgroup用于对容器进行资源管理。Kubernetes 使用 cgroup 来限制容器可以使用的 CPU、内存、磁盘和网络等资源。通过配置 cgroup 参数,可以为每个容器分配特定的资源配额,从而确保容器之间的资源隔离。 通过 cgroupKubernetes 可以实现以下功能: - 控制容器的 CPU 使用率,确保公平的 CPU 分配; -限制容器的内存使用量,避免资源耗尽; - 管理容器的磁盘使用,防止磁盘空间不足; - 控制容器的网络带宽,避免网络拥塞。 总之,k8s 使用 cgroup 来管理和控制容器的资源使用,以确保应用程序能够在一个可控的环境中运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云计算-Security

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值