Docker 核心原理 cgroup

最新推荐文章于 2024-04-28 11:56:47 发布
最新推荐文章于 2024-04-28 11:56:47 发布
阅读量574 收藏 2
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RunzIyy/article/details/105113747
版权

Docker 核心原理 cgroup

1. Cgroup

​ Docker 通过 cgroup 来控制容器使用的 资源配额,包括 CPU、内存、 磁盘等三个大的方面,基本覆盖了常见的资源配额和使用量的控制。

​ Cgroup( controller group),是Linux内核中提供的一种可以限制、记录、隔离进程组所使用的物理资源,例如CPU、Memory、磁盘IO等等)的机制,被LXC、Docker 等多种项目用于实现进程资源控制。

​ Cgroup 简单的来理解,就是可以将cpu、内存、磁盘I/O进行资源分配,限制使用的 大小、以及频率

2. Cgroup 功能实现

​ 1) 资源限制: 对进程组使用的资源总额进行限制

  • Memory 子系统可以为进程组设定一个 Memory 使用上限,一旦进程组使用的内存达到限定的额度再次申请内存。

​ 2) 优先级分配: 通过使用权重值分配CPU 的时间和硬盘的I/O大小

  • 可以使用CPU子系统为某个进程组分配特定 CPU share(优先级)

​ 3) 资源统计: 记录容器对硬件的使用,时间用量等等

  • 可以使用cpuacct 子系统记录某个进程组使用的 cpu 时间等等

​ 4) 进程控制: 对进程挂起、恢复等操作

  • 使用freezer 子系统可以将进程组挂起和恢复

​ 5) 进程组隔离: 使不同的进程组使用不同的Namespace ,打到隔离的目的

  • 不同的进程组有各自的进程、网络、文件系统挂载空间。

  • 查看cgroup 挂载的子系统

[root@localhost ~]# ll /sys/fs/cgroup/
total 0
drwxr-xr-x. 5 root root  0 Mar 25 04:59 blkio
lrwxrwxrwx. 1 root root 11 Mar 25 04:59 cpu -> cpu,cpuacct
lrwxrwxrwx. 1 root root 11 Mar 25 04:59 cpuacct -> cpu,cpuacct
drwxr-xr-x. 5 root root  0 Mar 25 04:59 cpu,cpuacct
drwxr-xr-x. 3 root root  0 Mar 25 04:59 cpuset
drwxr-xr-x. 5 root root  0 Mar 25 04:59 devices
drwxr-xr-x. 3 root root  0 Mar 25 04:59 freezer
drwxr-xr-x. 3 root root  0 Mar 25 04:59 hugetlb
drwxr-xr-x. 5 root root  0 Mar 25 04:59 memory
lrwxrwxrwx. 1 root root 16 Mar 25 04:59 net_cls -> net_cls,net_prio
drwxr-xr-x. 3 root root  0 Mar 25 04:59 net_cls,net_prio
lrwxrwxrwx. 1 root root 16 Mar 25 04:59 net_prio -> net_cls,net_prio
drwxr-xr-x. 3 root root  0 Mar 25 04:59 perf_event
drwxr-xr-x. 5 root root  0 Mar 25 04:59 pids
drwxr-xr-x. 5 root root  0 Mar 25 04:59 systemd

3. Cgroup 子系统

​ Cgroup 将任意进程进行分组化管理的linux内核功能,cgroup 本身就是提供将进程进行分组化管理的功能和接口的基础结构,I/O或内存的分配控制等具体的资源管理功能是通过这个功能来实现的,这些具体的资源管理功能被称为一个Cgroup子系统。

​ blkio – 设置限制每个块设备(磁盘、U盘)的输入输出的控制。

​ CPU – 使用调度程序为Cgroup任务提供CPU 的访问

​ Cpuacct – 产生Cgroup 任务的CPU资源报告

​ cpuset – 如果,是多核心的CPU,这个子系统会为cgroup 任务分配单独的CPU和内存

​ devices – 允许 或拒绝 cgroup 任务对设备的访问

​ freezer – 暂停和恢复cgroup 的内存限制以及产生内存资源报告

​ memory – 设置每个Cgroup的内存限制以及生产内存资源的报告

​ net_cls – 标记了每个网络包,供cgroup 方便使用

​ ns – 命名空间子系统

​ perf_event – 增加了对每个 group 的检测跟踪能力,可以检测属于某个特定的group的所有线程以及运行在特定CPU上的 线程

4. 相关概念

  • task(任务):在Cgroup是一个要控制的系统进程
  • cgroup(控制族群): 控制组群就是按照某一种标准划分的进程。Cgroups 中的资源控制都是以控制族群为单位实现,可以有多个 cgroup 组,可以限制不同的 内容,组名不能相同
  • subsystem(子系统): 子系统限制具体的内容,cgroup 组中的具体事项, 子系统就是资源控制器
  • hierarchy(层级): 层级树,由一堆cgroup 构成,包含了多个 cgroup的叫层级树, 用于控制cgroup

查看cgroup 支持的所有的子系统

lssubsys -a cgroup

cpuset					// 给task 分配独立的CPU
cpu,cpuacct				// cpu(控制程序对CPU使用), cpuacct(生成CPU使用情况报告)
memory					// 内存使用量进行限制,并且生成报告
devices					// 开启关闭设备的访问,不仅仅是块设备
freezer					//
最低0.47元/天 解锁文章
Docker核心原理四部分之一(基本框架)
TravelBWorld的博客
04-05 498
docker核心原理,在大部分人的认知里,主要包括namespace(命名空间),cgroup(Control Groups),镜像分层(UnionFS,也可以用union mount来代称)三部分,再这里我把docker的基本框架也作为核心原理的一部分来进行介绍。 所以,docker核心原理有: NameSpace(命名空间); Cgroup(Control Groups); 镜像分层(UnionFS); 基本框架。 首先简单介绍一下前三个部分分别是什么,以及他们在docker中主要用来干什么。
Docker核心原理cgroups
我不是大牛
01-12 2192
cgroups资源限制 上一篇文章中,我们了解了Docker的资源隔离技术namespace,通过系统调用构建了一个相对隔离的shell环境。也可以称之为一个简单的容器。接下来将讲解另一个强大的内核工具-cgroups。它不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或线程)启停等。 1.cgroups是什么 cgroups顾名思义就是把任务放到一...
cgroup原理和实现
01-17
cgroup原理和实现,Cgroups 是 control groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups)所使用的物理资源(如:cpu,memory,IO 等等)的机制。最初由 google 的 工程师提出,后来被整合进 Linux 内核。Cgroups 也是 LXC 为实现虚拟化所使用的资源管理 手段,可以说没有 cgroups 就没有 LXC。 该文档详细讲解了cgroup原理和实现
docker核心原理-cgroup
dianlv8134的博客
04-13 283
Cgroup ************************************************************** 2.为什么限制硬件资源: 一个虚拟机开启一个nginx需要很大的资源, 在docker里: nginx 一个进程大概占用10-15M 公用内存的弊端:黑客进攻,内存膨胀,增加物理内存的使用率,从而损坏虚拟机和物理内存,最终导致物理机出现问...
docker原理cgroup
城志的学习笔记
07-02 269
目录cgroup主要功能术语参考 cgroup 全称Linux Control Group, 是Linux内核的一个功能,用来限制、控制与分离一个进程组群的资源(如CPU、内存、磁盘输入输出等),可更具体地控制对系统资源的分配、优先顺序等。 一句话总结,namesapce解决环境隔离问题,cgroup则解决对计算机资源使用上的隔离问题。 主要功能 Resource limitation...
docker 底层知识】cgroup 原理分析
热门推荐
zhonglinzhang
03-22 1万+
一. cgroup 相关概念解释 Cgroups提供了以下功能: 限制进程组可以使用的资源(Resource limiting ):比如memory子系统可以为进程组设定一个memory使用上限,进程组使用的内存达到限额再申请内存,就会出发OOM(out of memory) 进程组的优先级控制(Prioritization ):比如可以使用cpu子系统为某个进程组分配cpu sha...
Docker基础-cgroup
可乐不解渴
09-13 1558
cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一 系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。简单说, cgroups 可以限制、记录任务组所使用的物理资源。本质上来说, cgroups 是内核附加在程序上的一系列钩子(hook),通过程序运行时对资源的调度触发相应的钩子以达到资源追踪和限制的目的。
Docker核心原理解读
joooooooooooe的博客
01-09 252
一、Docker背后的内核知识 Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制 (copy-on-write) 实现了高效的文件操作。 1. namespace资源隔离 进行namespace api的四种方式:clone(),setns(),unshare() UTS namespace:提供主机名和域名的隔离,这样每个Docker容器在网络上可以被视作一个独立的节点,而非宿机上的一个进程。Docker中,每个镜像基本都以自身所提供的服务...
Docker:(八)私有仓库部署、cgroup资源限制
ver_mouth__的博客
07-19 640
CPU—>VCPU–>以进程的方式体现在workstation环境(docker环境中)—》docker表现形式是容器,–>Vcpu以进程的方式控制容器–》容器中的应用需要的是服务进程支持–》宿主机内核中cpu可以被cgroup管理(通过分配资源手段)–》linux内核中的cgroup可以直接控制VCPU的资源分配,而VCPU在workstation中是以进程的方式管理docker容器的,所以,也可以认为Cgroups在直接/间接管理docker容器中的应用。......
Docker----Cgroup原理描述及应用实例操练
weixin_47151643的博客
09-25 3223
文章目录一:CGroup描述1.1:CGroup 支持的文件种类12:CGroup 层级图1.3:CGroup 特点1.4:子系统的介绍1.5:CGroup 典型应用架构图二:使用stress工具压测CPU和内存三:CPU周期限制四:CPU Core 控制:五:CPU 配额控制参数的混合使用:六:内存限额:七:Block IO 的限制:八:bps 和 iops 的限制: 前言 CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (proces.
推荐阅读-Docker实现原理之Namespace,CGroup
rayylee
07-19 1078
找了几篇这方面的文章,写的还不错,跟大家共享:DOCKER基础技术:LINUX NAMESPACE(上)DOCKER基础技术:LINUX NAMESPACE(下)DOCKER基础技术:LINUX CGROUP
docker的资源控制管理——Cgroup
m0_59579177的博客
07-25 1230
1.docker使用cgroup控制资源,K8S里面也有limit(使用上限)2.docker通过cgroup来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。3.Cgroup是Controlgroup的简写,是Linux内核提供的一种限制所使用物理资源的机制,包括CPU、内存和IO这三大方面,基本覆盖了常见的资源配额和使用量控制4.cgroup是一种资源控制手段,也是容器隔离的6个名称空间的一种实现手段。...
docker cgroup详解
leechm的博客
07-25 2262
原理介绍 cgroup不仅可以限制被namespace隔离起来的资源,还可以为我们的资源设置权重,操控进程,停止进程等操作。 我们这里重点学习cgroup怎么实现限制的,以配置为准,它整个配置是通过伪文件系统配置文件的方式来修改配置的。所以我们最终理解一下它的作用即可。 所以cgroup和我们之前的通俗的理解上用户和组的关系是类似的,把用户放到组里面,然后对组限制权限,然后组的目录又分为父目录,子目录,有继承关系,不同目录的继承关系有一个规定,就是入乡随俗,跨目录又不行。。。 我们namespa
Dockercgroup介绍
弯弯传奇的博客
08-29 3439
1 cgroup基本介绍 1.1 cgroup基本概念 cgroups(ControlGroups)是内核提供的一种机制,为了不同用户层面的资源管理,提供一个统一化的接口。从单个进程的资源控制到操作系统层面的虚拟化。 1.2 cgroup术语表 task(任务):cgroups的术语中,task就表示系统的一个进程。 cgroup(控制组):cgroups中的资源控制都以cgroup为单位实现。c...
Docker基础-cgroup_docker cgroup(1)
2401_84413092的博客
04-28 825
示例:查看指定进程所占用内存的使用情况每隔1秒监控一次mysql进程使用内存情况,总共监控1000次。
Docker② —— Cgroups详解
qq_51148151的博客
04-22 2096
Cgroups详解
Docker与Kubernetes系列(六): Docker原理2_Linux CGroup
沈鸿斌的博客
02-23 2566
这段时间工作中用到了Docker以及Kubernetes(简称K8S),现在整理下我学习Docker以及K8S过程中看的一些比较好的资料,方便自己回顾,也希望能给容器小白一些帮助。给自己定一个小目标,二月底之前完成。 这是本系列的第六篇文章, 将介绍Docker的原理CGroup。 前面,我们介绍了Linux Namespace,但是Namespace解决的问题主要是环境隔
docker资源控制cgroup
weixin_69148277的博客
06-10 1548
使用--cpu-period即可设置调度周期,使用--cpu-quota即可设置在每个周期内容器能使用的CPU时间。#创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为1/3和2/3。CFS周期的有效范围是1ms~1s, 对应的--cpu-period的数值范围是1000~1000000。容器的CPU 配额必须不小于1ms,即--cpu-quota 的值必须>= 1000。可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少CPU时间。
深入解读Docker底层技术cgroup系列(1)——cgroup介绍
Hugo的博客
04-07 687
日期 内核版本 CPU架构 作者 2019.04.06 Linux-4.4 PowerPC LoneHugo 系列文章:https://blog.csdn.net/Vince_/article/details/89070001 cgroup组与task_struct之间的关系 ...
Docker基本原理
最新发布
03-24
### Docker 的基本工作原理及实现机制 Docker 是一种基于容器技术的开源平台,其核心目标是提供一种轻量级的方式,在不同的环境中部署应用程序并保持一致性[^1]。以下是关于 Docker 工作原理及其内部实现机制的具体说明: #### 1. **Docker 架构** Docker 使用 Client-Server 结构来构建整个系统。其中,Docker 守护进程(`dockerd`)运行在主机上,而客户端工具(如 `docker` CLI)则通过 Socket 连接与守护进程通信[^3]。 #### 2. **主要组件的功能划分** - **Docker 镜像 (Image)** Docker 镜像是只读模板,包含了启动容器所需的文件系统以及配置信息。这些镜像可以被分层存储,从而提高资源利用率和传输效率。 - **Docker 容器 (Container)** 容器是由镜像实例化的运行环境。每个容器拥有独立的操作空间,并与其他容器相互隔离。这种隔离性由 Linux 内核中的命名空间(Namespaces)和控制组(Cgroups)技术支持[^2]。 - **Docker 引擎 (Engine)** Docker 引擎作为系统的中枢部分,承担着管理镜像、创建/销毁容器、分配网络资源等功能。它还提供了 RESTful API 接口以便外部程序调用操作容器生命周期的方法。 #### 3. **关键技术支持** 为了实现上述功能,Docker 利用了多种底层操作系统特性: - **Linux 命名空间 (Namespace)** 提供了必要的隔离能力,使得不同容器之间互不影响。具体来说,PID namespace 实现进程分离;Network namespace 负责网络栈隔绝等[^5]。 - **控制组 (Control Groups, Cgroup)** 主要用于限制、记录和隔离一组进程所使用的物理资源(CPU、内存、磁盘 I/O 等)。这有助于保障单个容器不会占用过多宿主机资源而导致其他服务受影响。 - **联合挂载 (Union File System)** 支撑多层文件系统的高效管理和共享。每一层都可以单独修改而不影响下一层的内容,最终形成完整的根文件系统视图给到容器使用。 #### 4. **典型流程解析——从镜像到运行容器** 当用户执行命令如 `docker run ubuntu bash` 后会发生如下过程: 1. 如果本地不存在指定名称的镜像,则会尝试从默认公共仓库拉取最新版本; 2. 加载该镜像至内存中准备初始化一个新的容器实例; 3. 设置好相应的参数之后正式开启新进程进入交互模式或者后台静默执行状态; 4. 整个工作期间始终依赖于前面提到的各种基础设施完成实际任务调度和服务供给[^4]。 ```bash # 创建并启动一个基于Ubuntu的基础容器 docker run -it --name my_container ubuntu /bin/bash ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值