lxcfs容器隔离技术实现原理分析之loadavg、cpuonline

最新推荐文章于 2024-04-10 09:36:45 发布
最新推荐文章于 2024-04-10 09:36:45 发布
阅读量947 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZVAyIVqt0UFji/article/details/103193083
版权

女主宣言

我们知道runc没有做到完全隔离/proc、/sys路径下的文件,所以容器内通过top、free等命令看到的数据都是物理机上的。利用lxcfs可以实现将容器内/proc、/sys文件与物理机隔离,让top等命令显示容器内真实数据。本文将来详细介绍一下。

PS:丰富的一线技术、多元化的表现形式,尽在“360云计算”,点关注哦!

lxcfs是什么

我们知道runc没有做到完全隔离/proc、/sys路径下的文件,所以容器内通过top、free等命令看到的数据都是物理机上的。对于习惯了虚机,物理机的同学来说不太友好,而且这些命令似乎也失去了本质意义。lxcfs作用就是将容器内/proc、/sys文件与物理机隔离,让top等命令显示容器内真实数据。

说明

lxcfs是以用户空间文件系统(Filesystem in Userspace)为基础,以cgroup技术实现的用户空间的虚拟文件系统。先对fuse和cgroup有大致了解,看本文效果更好些。本文不介绍lxcfs的安装及使用,网上不乏这样的好文章。我们主要介绍下lxcfs对cpuonline、loadavg的现实,这两部分弄懂,其它也大体相同。

容器中读取lxcfs文件系统

lxcfs程序启动时会指定一个路径(如下图是/var/lib/lxcfs)作为挂载点,以后读取这个路径的下文件(cgroup、proc、sys)vfs都会调用内核fuse,fuse回调lxcfs实现的文件操作函数。容器内读取lxcfs文件系统中的数据时,通过gblic系统调用vfs接口然后转到fuse内核模块,内核模块fuse回调lxcfs程序中实现的回调函数,获取容器的cgroup,然后去宿主机对应cgroup下读取并计算后得到容器的实际mem、cpu等信息。lxcfs将物理机的cgroups挂载到运行时环境/run/lxcfs/controllers,但直接在物理机上看不见,因为程序中用unshare做了mounts namespace隔离。lxcfs程序中所有的cgroups信息都从/run/lxcfs/controllers下获得。

源码

因为工作中正好需要这两部分,所以主要介绍下cpuonline和loadavg的实现。nginx、java等程序根据cpu核心数启动相应个数的进程,cpuonline是相关系统调用的数据来源。没隔离导致的容器内获取到cpu核数是物理机的,本应该创建2个进程,实际却创建40个(容器2c,物理机40c),由于更多的上下文切换导致明显的性能下降。loadavg目前没看到有关的分析,这里也简单介绍下。

隔离效果

物理机40c128g

1、cpuonline

物理机

容器2c4g

2、loadavg

物理机

容器2c4g

可以看到cpuonline和load average都已经隔离

实现分析

注:cgropu的各个controller文件在main函数执行前打开,保存在fd_hierarchies中,后面使用直接掉openat,不是每次都要open、close文件。通过c语言的attribute((constructor)) 属性,声明collect_and_mount_subsystems这个函数。


看下collect_and_mount_subsystems

static void __attribute__((constructor)) collect_and_mount_subsystems(void)
{
      
    FILE *f;
    char *cret, *line = NULL;
    char cwd[MAXPATHLEN];
    size_t len = 0;
    int i, init_ns = -1;
    bool found_unified = false;

    if ((f = fopen("/proc/self/cgroup", "r")) == NULL) {
      
        lxcfs_error("Error opening /proc/self/cgroup: %s\n", strerror(errno));
        return;
    }
    // 读取宿主机上namespaces controller保存到hierarchies
    while (getline(&line, &len, f) != -1) {
      
......
        if (!store_hierarchy(line, p))
            goto out;
    }

    /* Preserve initial namespace. */
    init_ns = preserve_mnt_ns(getpid());
    if (init_ns < 0) {
      
        lxcfs_error("%s\n", "Failed to preserve initial mount namespace.");
        goto out;
    }

    fd_hierarchies = malloc(sizeof(int) * num_hierarchies);
    if (!fd_hierarchies) {
最低0.47元/天 解锁文章
ZVAyIVqt0UFji
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LXCFS简介
WEL测试
08-24 9492
LXCFS简介 社区中常见的做法是利用lxcfs来提供容器中的资源可见性。lxcfs 是一个开源的FUSE(用户态文件系统)实现来支持LXC容器,它也可以支持Docker容器LXCFS通过用户态文件系统,在容器中提供下列procfs的文件。 /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /pr...
docker desktop ubuntu镜像_基于 Docker 构建 Hadoop 平台
weixin_39774644的博客
11-20 528
基于Docker的Hadoop集群构建0. 绪论使用Docker搭建Hadoop技术平台,包括安装Docker、Java、Scala、Hadoop、 Hbase、Spark。集群共有5台机器,主机名分别为 h01、h02、h03、h04、h05。其中 h01 为 master,其他的为 slave。JDK 1.8Scala 2.11.6Hadoop 3.2.0Hbase 2.1.3Spark 2....
docker实践(4) docker资源限制和lxcfs实现对容器资源视图隔离
黄规速博客:学如逆水行舟,不进则退
09-09 352
docker 是通过 CPU cgroups 来限制容器使用的cpu上限,而和CPU groups有关的三个比较重要的参数是: cpu.cfs_quota_us、cpu.cfs_period_us、cpu.shares.
Docker安全加固——利用LXCFS增强docker容器隔离性和资源可见性
even160941的博客
08-11 601
文章目录前言利用LXCFS增强docker容器隔离性和资源可见性设置特权级运行的容器:–privileged=true安全加固的思路保证镜像的安全保证容器的安全docker安全的遗留问题总结 前言 lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstat...
通过lxcfs文件系统让pod正确识别到分配的资源
charles的博客
04-12 621
在使用docker的时候,为了限制某个容器使用的资源,常常使用cgroup的资源限制来限制容器最大能使用的CPU和内存资源等。对于一些app,它往往会自动检测当前环境的最大资源数量,然后根据这个数据来合理分配资源。问题就出在这上面,当给容器限制之后,它在容器内能检测到的依然是host相关的资源信息。例如host有16G内存,限制一个容器最多使用2G,在容器里面通过/proc/meminfo看依然是16G内存。这就导致往往app会分配超过2G的内存从而被cgroup杀掉。 LXCFS的出现就是为了解决这个问题
Python实现Linux监控的方法
09-15
Python实现Linux监控主要是利用了Linux系统的/proc文件系统,这是一个特殊的虚拟文件系统,它提供了与内核交互的途径,允许我们获取系统运行时的内核状态和进程信息。在Python中,可以通过读取/proc目录下的文件来...
Node.js API详解之 os模块用法实例分析
12-20
- **os.loadavg()**:返回系统的平均负载,返回一个包含三个元素的数组,分别代表最近1分钟、5分钟和15分钟的负载。 - **os.networkInterfaces()**:返回一个对象,包含了所有网络接口的信息,如IP地址、子网掩码等...
unix/linux loadagv的原理详解
04-19
本文将深入探讨Load Average的工作原理,并解析其计算方式,帮助你更好地理解和利用这一信息。 **1. Load Average的基本概念** Load Average是指在特定时间间隔内,系统处于活动状态(包括运行和等待CPU资源)的...
loadserver:loadavg 服务器和 api
06-15
下一代服务器监控和分析LoadAvg 是免费软件,它将改变您管理服务器的方式。 您的服务器是一台复杂的机器,您需要了解是什么让它保持运行以及正在使用哪些资源以便为她提供一切。 LoadAvg 可帮助您管理性能并...
探秘LXCFS:轻量级容器的文件系统魔法
最新发布
gitblog_00005的博客
04-10 268
探秘LXCFS:轻量级容器的文件系统魔法 项目地址:https://gitcode.com/lxc/lxcfs 项目简介 LXCFS 是一个开源项目,由Linux容器LXC)团队开发,它提供了一个用户空间的文件系统,使得容器内的应用程序可以像在独立的Linux系统上一样访问文件系统,从而提高了LXC容器隔离性和用户体验。通过模拟核心操作系统服务,LXCFS让轻量级容器得以享有与完整虚拟机相似的...
Docker_LXC 容器在 Linux 中正确获取 Loadavg 的解决方案
java060515的专栏
11-29 942
背景 本文主要解决如何在 Linux 容器中正确获取 Loadavg 信息。 我们 cat /proc/loadavg 时会发现如下值: $ &amp;amp;gt; cat /proc/loadavg 0.64 0.81 0.86 3/364 6930 这些值的含义依次为: 0.64:1-分钟平均负载。 0.81:5-分钟平均负载。 0.86:15-分钟平均负载。 3: 在采样时刻,运行队列的任务的数目。 ...
Linux Container(LXC)容器隔离实现机制
RodJohnson_523391的专栏
05-19 395
[url]http://tasnrh.blog.51cto.com/4141731/1760061[/url]
Kubernetes lxcfs
weixin_41020960的博客
04-23 305
容器实现的基础是NameSpace和Cgroups。 NameSpace实现了对容器(进程)的隔离,NameSpace技术实际上修改了应用进程看待整个计算机“视图”,也就是作用域,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容,实现方式类似于将全局变量修改为了局部变量。 Cgroup实现了对容器(进程)资源的限制,但是在容器内部依然缺省挂载了宿主机的procfs的/proc目录,其中包含:meminfo,cpuinfo,stat,uptime等资源信息。一些监控工具如 free/top 会
Kubernetes 中利用 LXCFS 控制容器资源可见性
qq_24794401的博客
06-12 1064
背景Linux 利用 Cgroup 实现了对容器的资源限制,但在容器内部依然缺省挂载了宿主机上的 procfs 的 /proc 目录,其包含如:meminfo、cpuinfo、stat、...
Kubernetes之路 2 - 利用LXCFS提升容器资源可见性
maoreyou的博客
04-17 545
摘要: 这是本系列的第2篇内容,将介绍在Docker和Kubernetes环境中解决遗留应用无法识别容器资源限制的问题。本系列文章记录了企业客户在应用Kubernetes时的一些常见问题第一篇:Java应用资源限制的迷思第二篇:利用LXCFS提升容器资源可见性第三篇:解决服务依赖这是本系列的第2篇内容,将介绍在Docker和Kubernetes环境中解决遗留应用无法识别容器资源限制的问题。Linu...
跟小编玩转Docker到天亮 —— 利用Bind Mouting提高开发调试效率
贱男
12-03 362
一、引言 阔爱帅气的小编又来了 , 那么么么么今天所写的文章也是在实际使用docker所遇到的问题。 新开发一个项目、或者新写一个功能需求,那肯定避免不了调试开发,然后测试,测试完又要改源码。 但每次修改一次源码都需要重新build的一下镜像,我滴天,这么麻烦的吗? 如果你也是遇到类似相同的问题,请问继续往下看...... 二、数据持久化之Bind Mouting 遇到这个问题小编...
snprintf实现_lxcfs容器隔离技术实现原理分析loadavgcpuonline
weixin_39887531的博客
12-18 192
女主宣言我们知道runc没有做到完全隔离/proc、/sys路径下的文件,所以容器内通过top、free等命令看到的数据都是物理机上的。利用lxcfs可以实现将容器内/proc、/sys文件与物理机隔离,让top等命令显示容器内真实数据。本文将来详细介绍一下。PS:丰富的一线技术、多元化的表现形式,尽在“360云计算”,点关注哦! lxcfs是什么我们知道runc没有做到完全隔离/pr...
LXC文件系统隔离实现原理
linuxchyu的专栏
03-16 4140
LXC使用以下内核特性来来实现虚拟化:  Kernel namespaces (ipc, uts, mount, pid, network and user)Apparmor and SELinux profilesSeccomp policiesChroots (using pivot_root)Kernel capabilities Control groups (cgroups)
Docker实验(十)Docker容器的安全加固(LXCFS,特权级运行容器
qq_39376481的博客
07-10 851
一.安全加固 安全加固的思路 保证镜像的安全 1.使用安全的基础镜像 2.删除镜像中的setuid和setgid权限 3.启用Docker的内容信任 4.最小安装原则 5.对镜像进行安全漏洞扫描,镜像安全扫描器:Clair 6.容器使用非root用户运行 保证容器的安全 1.对docker宿主机进行安全加固 2.限制容器之间的网络流量 3.配置Docker守护程序的TLS身份验证 4.启用用户命...
/proc/loadavg
07-27
/proc/loadavg是一个用于查看系统平均负载的命令。它是在/proc文件系统中的一个文件,该文件反映了当前操作系统在内存中的运行情况。loadavg文件中的前三个数字分别表示1分钟、5分钟和15分钟内的平均进程数。第四个数字的分子表示正在运行的进程数,分母表示进程总数。第五个数字表示最近运行的进程ID。通过查看/proc/loadavg文件,可以了解系统的负载情况。\[1\] #### 引用[.reference_title] - *1* [cat /proc/loadavg(平均负载)](https://blog.csdn.net/lj19990824/article/details/120367891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值