利用cgroup对Docker做权限限制

最新推荐文章于 2024-04-22 22:08:58 发布
最新推荐文章于 2024-04-22 22:08:58 发布
阅读量1k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Le_Anny/article/details/81952541
版权
本文介绍了如何利用Linux Cgroup来对Docker容器进行内存、CPU和磁盘I/O的限制,以及如何使用freezer子系统挂起和恢复容器进程。此外,还讲解了在Docker中搭建私有镜像库的步骤。
摘要由CSDN通过智能技术生成

Linux Cgroup(Control Groups)是Linux内核提供的用于限制、记录、隔离进程组可以使用的资源(cpu、memory、IO等)的一种机制。

实验环境

系统: rhel6 server1 172.25.41.1
物理机 172.25.41.250

一·对mem内存的限制

[root@server1 ~]# yum search cgroup
[root@server1 ~]# yum install libcgroup.x86_64
[root@server1 ~]# cd /cgroup/    #安装好libcgroup之后,会在根下产生/cgroup,此时该目录下还没有任何东西
[root@server1 cgroup]# /etc/init.d/cg config start
[root@server1 cgroup]# ll
[root@server1 cgroup]# cd memory/
[root@server1 memory]# ls
[root@server1 memory]# vim /etc/cgconfig.conf 
[root@server1 memory]# bc    #计算字节
200*1024*1024
209715200     #200M
[root@server1 memory]# vim /etc/cgconfig.conf      #编辑对资源限制的
# 添加以下内容
group x1 {
        memory {
                memory.limit_in_bytes = 209715200;   # 限制使用的最大内存数  
        }
}
[root@server1 memory]# cd
[root@server1 ~]# /etc/init.d/cgconfig restart
[root@server1 ~]# cd /cgroup/
[root@server1 cgroup]# cd memory/
[root@server1 memory]# cd x1/
[root@server1 x1]# ls
[root@server1 x1]# cat memory.limit_in_bytes    # 此时是对内存的吞吐量为无限大 
200*1024*1024
209715200

这里写图片描述
这里写图片描述

[root@server1 x1]# cd /dev/shm/
[root@server1 shm]# free -m
[root@server1 shm]# dd if=/dev/zero of=file1 bs=1M count=100
[root@server1 shm]# free -m
[root@server1 shm]# dd if=/dev/zero of=file1 bs=1M count=300
[root@server1 shm]# free -m

这里写图片描述

[root@server1 shm]# cgexec -g memory:x1 dd if=/dev/zero of=file1 bs=1M count=300    #进行压力测试
[root@server1 shm]# free -m
[root@server1 shm]# rm -f file1
[root@server1 shm]# free -m
[root@server1 shm]# dd if=/dev/zero of=file1 bs=1M count=300
[root@server1 shm]# free -m
[root@server1 shm]# cd /cgroup/memory/
[root@server1 memory]# ls
[root@server1 memory]# cat memory.memsw.limit_in_bytes    
9223372036854775807
[root@server1 memory]# cd
[root@server1 ~]# ls
anaconda-ks.cfg  install.
最低0.47元/天 解锁文章
Le_Anny
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker——Cgroup资源限制
m0_49226664的博客
12-03 429
目录一、Cgroup简介一、使用 stress 工具测试 CPU 和内存二、CPU 周期限制三、CPU Core 控制四、内存限额五、Block IO 的限制六、bps 和 iops 的限制 一、Cgroup简介 一、使用 stress 工具测试 CPU 和内存 使用 Dockerfile 来创建一个基于 Centos 的 stress 工具镜像。 生成镜像 docker build -t centos:stress . 二、CPU 周期限制 三、CPU Core 控制 四、内存限额 五、Block I
Docker 资源限制 Cgroup
nnn717的博客
07-08 547
_cgroups,是一个非常强大的linux内核工具,他不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控进程启停等等。所以cgroups (Control groups) 实现了对资源的配额和度量。cgroups有四大功能:资源限制:可以对任务使用的资源总额进行限制;先级分配:通过分配的cpu时间片数量以及磁盘I0带宽大小,实际上相当于控制了任务运行优先级;资源统计:可以统计系统的资源使用量,如cpu时长, 内存用量等;任务控制: cgroup可以对任务执行挂起、恢复等
Docker Cgroup 容器资源限制
songyuchaoshi的博客
08-09 864
Linux Cgroups 的全称是 Linux Control Group。 是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、 网络带宽等等。 对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。 Linux Cgroups 给用户暴露出来的操作接口是文件系统。 它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。 执行此命令查看:mount -t...
docker-------Cgroup资源配置方法
weixin_51432789的博客
03-30 2468
目录前言一、Cgroup资源配置二、测试CPU和内存三、CPU周期限制四、CPU Core控制五、CPU配额控制参数的混合使用六、内存限额七、Block IO的限制八、bps和iops的限制 前言 默认情况下容器时没有资源限制的,因为它自身就是一个进程,当一个容器占用太多资源的话,会对其他的容器产生影响,所以合理分配容器资源是作为管理员必要关注的问题 docker通过Cgroup来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了常见资源配额和使用量控制 一、Cgroup资源配置 Cgrou
docker的资源控制管理——Cgroup
qq_61657394的博客
05-19 359
docker的资源控制管理——Cgroup
docker cgroup 资源监控的详解
09-30
Docker Cgroup资源监控详解主要涉及对Docker容器资源管理与监控的技术细节,本文内容将详细阐述如何通过Cgroups实现对Docker容器资源使用的限制和监控。 首先需要了解的是cgroup(control group)的概念。cgroup是...
[done]深⼊入解析Docker背后的Linux内核技术.pdf
03-29
Docker作为容器技术的代表,其核心就是利用Namespace实现容器的隔离性和独立性,利用CGroup实现对容器使用的资源进行限制。通过将Namespace和CGroup结合使用,Docker能够创建轻量级的虚拟化环境,使得每个容器像一个...
Azure Stack下Docker容器解决方案.pptx
10-10
资源隔离类似于Linux的CGroup,可以通过设置CPU、内存、IO限制来管理容器资源。文件系统联合挂载采用类似AUFS的分层Layer结构,提供统一视图。 Azure Stack部署Docker Swarm Mode时,需要注意ARM模板的选择。原始...
容器底层实现技术实验手册1
08-03
《容器底层实现技术实验手册1》是一份详细指导如何利用Namespace和Cgroups进行资源限制的实践手册,主要针对Docker容器技术。以下是手册中的关键知识点: 1. **Namespace**: Namespace是Linux内核提供的一种隔离...
container-info:返回有关当前容器的一些内存,CPU和cgroup信息
05-07
在JavaScript中,没有直接的API来访问cgroups,通常需要通过执行系统命令或者使用像`child_process`模块来调用shell命令如`cat /sys/fs/cgroup/memory/docker/<container_id>/memory.usage_in_bytes`来获取内存使用...
docker安全(权限设置)、cgroup方式设置限制权限
dandan
08-21 3453
docker一个root权限 docker run -it --name vm2 ubuntu ip link set down eth0 # 失败 docker run -it --name vm2 --privileged ubuntu ip link set down eth0 ip addr docker run –rm -it –name vm4 -m 100M ...
Docker之Cgroup与接口的使用(一)
liukuan73的专栏
09-25 2130
http://blog.csdn.net/u013246898/article/details/53020308 简介 Cgroup:control group,用于限制和隔离一组进程对系统资源的使用。资源的QoS(quality of service)。资源包括CPU,内存,block I/O,和网络带宽。  Cgroup中的子系统:  device:设备权限控制 
docker cgroup详解
leechm的博客
07-25 2123
原理介绍 cgroup不仅可以限制被namespace隔离起来的资源,还可以为我们的资源设置权重,操控进程,停止进程等操作。 我们这里重点学习cgroup怎么实现限制的,以配置为准,它整个配置是通过伪文件系统配置文件的方式来修改配置的。所以我们最终理解一下它的作用即可。 所以cgroup和我们之前的通俗的理解上用户和组的关系是类似的,把用户放到组里面,然后对组限制权限,然后组的目录又分为父目录,子目录,有继承关系,不同目录的继承关系有一个规定,就是入乡随俗,跨目录又不行。。。 我们namespa
Docker② —— Cgroups详解
最新发布
qq_51148151的博客
04-22 1499
Cgroups详解
linux 内核资源配置--cgroups详解以及在docker中的应用
岳来的博客
06-21 5044
linux 内核资源配置--cgroups详解以及在docker中的应用
Docker 核心原理 cgroup
RunzIyy的博客
03-26 505
Docker 核心原理 cgroup 1. CgroupDocker 通过 cgroup 来控制容器使用的 资源配额,包括 CPU、内存、 磁盘等三个大的方面,基本覆盖了常见的资源配额和使用量的控制。 ​ Cgroup( controller group),是Linux内核中提供的一种可以限制、记录、隔离进程组所使用的物理资源,例如CPU、Memory、磁盘IO等等)的机制,被LXC、...
容器Docker学习系列二~权限控制与命令了解
weixin_34219944的博客
08-15 143
在原先的文章中我们进行了简单的容器的拉取,获取现在的运行的docker列表docker ps,查看下载的docker信息docker images。等等信息 。具体我们可以参考文章docker的使用学习接下来我们具体运行到ubuntu环境下进行查看。使用我们的docker ubuntu环境 我们的docker是部署在ubuntu18.04版本上的具体系统...
CGroupDocker中起到什么作用
07-10
CGroup(Control Group)在Docker中起到了资源限制和管理的作用。...总之,CGroupDocker中起到了对容器资源进行限制、隔离、监控和控制的作用,确保容器之间的资源使用互不干扰,并提供了强大的资源管理能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值