docker lxc cgroup namespace入门

最新推荐文章于 2024-06-17 16:40:56 发布
最新推荐文章于 2024-06-17 16:40:56 发布
阅读量1.6w 收藏 10
点赞数 6
分类专栏: linux 文章标签: Linux lxc docker cgourp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnsword/article/details/17053865
版权

docker、lxc、cgroup、namespace是最近比较的技术。先了解一下他们分别是什么,然后说一下他们怎么用,具体实现机制以后再单独研究。

docker是lxc的管理器,lxc是cgroup的管理工具,cgroup是namespace的用户空间的管理接口。namespace是linux内核在task_struct中对进程组管理的基础机制。

再详细点说:

docker是用go来实现的,自动化了对lxc的管理过程,能够自动在线下载相应的发行版本的rootfs。

lxc可以直接chroot到任意的系统的rootfs上并通过cgroup的限制机制来控制容器内系统的资源占有率。

cgroup通过配置文件或者命令配置后,限制相应进程或一组进程使用的系统资源。

很明显,在lxc以上已经借助于chroot机制在一个限制的容器中运行一个完整的系统了,这样多个不通过虚拟化技术的新系统就在特定的占有物理资源的限制上运行起来。据说运行效率直逼实际机器。

下面说一下用法吧,先从下往上说:

cgroup

步骤:

  1. 在文件系统上建立层次结构
  2. 挂载文件系统并关联子系统
  3. 建立控制组
  4. 设置控制参数
  5. 将进程加入到控制组

通过/etc/cgconfig.conf配置或者cgroup-bin的相关指令来配置:

mount {

    cpuset = /sys/fs/cgroup/cpuset;

    momory = /sys/fs/cgroup/momory;

}

group cnsworder/my {

   perm {

        task {

               uid = root;

               gid = root;

        }

        admin {

              uid = root;

              gid = root;

        }

   }

    cpu {

         cpu.shares = 1000;

   }

}

命令如下

mount -t group -o cpu cpu /sys/fs/cgroup/cpuset

cgcreate -g cpu,momory:/cnsworder

chown root:root /sys/fs/cgroup/cpuset/cnsworder/my/*

chown root:root /sys/fs/cgroup/cpuset/cnsworder/my/task

cgrun -g cpu,momory:/cnsworder/my bash

lxc

建立新容器 lxc-create -n name -t type

删除容器 lxc-destory -n name

运行容器lxc-start -n name

运行容器中的指令 lxc-execute -n name command

停止运行容器 lxc-stop -n name

连接运行容器 lxc-attach -n name

配置cgroup lxc-cgroup -n name

你当然可以借助一下命令做更多的事情

lxc的配置文件位于/etc/lxc中

支持发行版本的template位于/usr/share/lxc/templates中,我的archlinux上支持的如下:

lxc-start和lxc-execute区别是lxc-execute会启动lxc-init进程来作为启动其他程序的入口。

对容器的资源控制配置在${path}/config中

lxc.mount = $path/fstab
lxc.pivotdir = lxc_putold

lxc.devttydir =$ttydir
lxc.tty = 4
lxc.pts = 1024

lxc.utsname = $name
lxc.arch = $arch
lxc.cap.drop = sys_module mac_admin mac_override

# When using LXC with apparmor, uncomment the next line to run unconfined:
#lxc.aa_profile = unconfined

lxc.cgroup.devices.deny = a
# Allow any mknod (but not using the node)
lxc.cgroup.devices.allow = c *:* m
lxc.cgroup.devices.allow = b *:* m
# /dev/null and zero
lxc.cgroup.devices.allow = c 1:3 rwm
lxc.cgroup.devices.allow = c 1:5 rwm
# consoles
lxc.cgroup.devices.allow = c 5:1 rwm
lxc.cgroup.devices.allow = c 5:0 rwm
#lxc.cgroup.devices.allow = c 4:0 rwm
#lxc.cgroup.devices.allow = c 4:1 rwm
# /dev/{,u}random
lxc.cgroup.devices.allow = c 1:9 rwm
lxc.cgroup.devices.allow = c 1:8 rwm
lxc.cgroup.devices.allow = c 136:* rwm
lxc.cgroup.devices.allow = c 5:2 rwm
# rtc
lxc.cgroup.devices.allow = c 254:0 rwm
#fuse
lxc.cgroup.devices.allow = c 10:229 rwm
#tun
lxc.cgroup.devices.allow = c 10:200 rwm
#full
lxc.cgroup.devices.allow = c 1:7 rwm
#hpet
lxc.cgroup.devices.allow = c 10:228 rwm
#kvm
lxc.cgroup.devices.allow = c 10:232 rwm


docker

docker run -t type command直接在线下载

如果有dockerfile一切将变得更简单,借助于github你可以直接运行一个桌面环境

docker build -t cnsworder/docker-desktop git://github.com/rogaha/docker-desktop.git

docker run -d cnsworder

docker run常用的选项有:
  -e 设置容器的运行env环境变量
  -v 映射服务的一个目录到容器中
  -p 容器对服务器暴露的端口
  -c cpu使用的权重
  -m 限制容器的内存使用量
  -i 标准输出到当前term
  -t 分配一个tty

另外更让人羡慕的是借助有vargant可以在mac和windows上使用docker,当然vargant就是在virtualbox中跑了linux虚拟机。

开发者说
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
LXCnamespace模块学习-小结
jet
05-06 2830
目录: 一  Networking Namespaces (1)有那些namespeace? (2)命名空间设备指的是那些? (3)namespace与socket, 与网络设备的关系: 二  代码分析 2.1 数据结构  struct net { 2.2 “网络命名空间”与“ 网络设备”的组织关系图: 2.3 网络命名空间的操作 //////////////////
Docker-LXC_原理与绕过1
08-04
Docker 中,容器是通过 namespacecgroup 机制来实现的。Namespace 是 Linux 下的一种资源隔离机制,可以将进程分离到不同的 namespace 中,从而实现资源的隔离。Cgroup 是 Linux 下的一种资源限制机制,可以...
linux namespacecgroup lxc
龙炎轻舞
05-27 1072
Namespace:隔离技术的第一层,确保 Docker 容器内的进程看不到也影响不到 Docker 外部的进程。Control Groups:LXC 技术的关键组件,用于进行运行时的资源限制。UnionFS(文件系统):容器的构件块,创建抽象层,从而实现 Docker 的轻量级和运行快速的特性 1 libcontainer Docker 从 0.9 版本开始使用 libcon
LXC是如何与CGROUPnamespace扯上关系的?再加上DOCKER.IO。完美!!!
weixin_33672109的博客
02-08 112
最后还余下网络去攻克了。 不同的模板,只是在同一个LINUX内核上去实现不同的发行版的特性。 终归,都是用同样的内核来实现调度。故而是一个轻量极的方案。 而不像KVM一样,GUEST OS里的CPU也模拟为HOST OS内的一个进程。 ...
Docker Namespace & Cgroups
最新发布
liquanfan的博客
06-17 925
主要介绍docker与linux namespacecgroups的关系。
LXC(LinuX Container)之namespaec和cgroup
Frankltf的博客
10-15 248
LXC(LinuX Container)之namespaec和cgroup namespace概述 从操作系统级上实现了资源的隔离,它本质上是宿主机上的进程(容器进程),所以资源隔离主要就是指进程资源的隔离。实现资源隔离的核心技术就是 Linux namespace。这技术和很多语言的命名空间的设计思想是一致的(如 C++ 的 namespace)。 Linux的命名空间机制提供了一种...
Docker学习笔记----LXC,chroot,namespace&cgroups
noflag的博客
11-01 1268
学习docker得首先知道docker的起源,docker是由虚拟机延伸出来的。 虚拟机主要是主机级虚拟机。 有两种类型: Type I: 直接在硬件平台上装一个虚拟机管理器,也就是说在硬件上是不用装宿主机模式的,直接上虚拟机管理器 没有任何主机是直接跑在硬件上,所有操作系统都是跑在虚拟机上的叫做类型一 实现机制: 虚拟出来的应该是独立的硬件平台,因此用户想使用虚拟机就必须在自己...
推荐阅读-Docker实现原理之Namespace,CGroup
rayylee
07-19 1059
找了几篇这方面的文章,写的还不错,跟大家共享:DOCKER基础技术:LINUX NAMESPACE(上)DOCKER基础技术:LINUX NAMESPACE(下)DOCKER基础技术:LINUX CGROUP
linux lxc端口修改,linux容器技术-lxc创建虚拟机的执行过程分析
weixin_35433448的博客
05-05 271
chroot "$1/partial-${arch}" apt-get updateif [ $? -ne 0 ]; thenecho "Failed to update the apt cache"return 1ficat > "$1/partial-${arch}"/usr/sbin/policy-rc.d << EOF#!/bin/shexit 101EOFchmod +...
Docker 容器入门实战.pptx
10-11
Docker 容器入门实战 Docker 容器是一种轻量级的操作系统虚拟化技术,可以将应用程序和依赖项打包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上。 Docker 简介 Docker 是 dotCloud 开源的一个基于 ...
Docker底层服务之NameSpaceCgroup、存储、网络.zip
01-02
Docker底层服务之NameSpaceCgroup、存储、网络.zip Docker底层服务之NameSpaceCgroup、存储、网络.zip
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
Docker cgroup 信息 不赞成这样做。 用于检查 docker 容器的最小工具 用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL] 一般安装 virtualenv env . env/bin/activate pip install -r requirements Boot2docker 安装 boot2docker ssh git clone <this> docker_cgroup_info wget http://www.tinycorelinux.net/5.x/x86/tcz/python.tcz && tce-load -i python.tcz && r
docker基础学习|docker基操
05-23
LXC是基于cgroup等linux kernel功能的,因此container的guest系统只能是linux base的 隔离性相比KVM之类的虚拟化方案还是有些欠缺,所有container公用一部分的运行库 网络管理相对简单,主要是基于namespace隔离 ...
LXC之.conf配置文件详解
暧暧远人村,依依墟里烟 ...
06-19 5034
作者: UBUNTU manpages 来源: http://manpages.ubuntu.com/manpages/disco/en/man5/lxc.container.conf.5.html DESCRIPTION LXC is the well-known and heavily tested low-level Linux container runtime. It is in...
cgroup 的学习及 lxc 容器的使用
龙瑜的博客
07-28 1468
/sys/fs/cgroup/pids/ 在 cgroup 的挂载点下创建子目录。 longyu@virt-debian10:/sys/fs/cgroup$ mkdir test mkdir: cannot create directory ‘test’: Read-only file system longyu@virt-debian10:/sys/fs/cgroup$ grep ‘cgroup’ /etc/mtab tmpfs /sys/fs/cgroup tmpfs ro,nosuid,nodev,n
dockerCgroupNamespace
weixin_44593531的博客
08-01 937
cgroupCGroups 全称control group,用来限定一个进程的资源使用,主要起到限制作用,由Linux 内核支持,可以限制和隔离Linux进程组 (process groups) 所使用的物理资源 ,比如cpu,内存,磁盘和网络IO,是Linux container技术的物理基础。 Cgroup的具体作用如下: 限制资源的使用:Cgroup可以对进程组使用的资源总额进行限制; 优先级控制:通过分配CPU时间片数量及磁盘IO带宽大小,实际上就是相当于控制子进程运行的优先级。 资源统计:Cg
DockerNamespaceCgroup
小健健的博客
12-09 1519
博文大纲:一、Docker概述二、Namespace概念三、Cgroup基本概念与示例 一、Docker概述 1.Docker简介 Docker作为开源社区最火爆的项目,它是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机”,docker的全部源代码都在https://github.com/docker 进行相关维护,其官网是:https://www.docker.com 。 Do...
(转载)Docker技术三大要点:cgroup, namespace和unionFS的理解
力尽山拔的博客
10-14 415
https://blog.csdn.net/i042416/article/details/85161108 www.docker.com的网页有这样一张有意思的动画: 从这张gif图片,我们不难看出Docker网站想传达这样一条信息, 使用Docker加速了build,ship和run的过程。 Docker最早问世是2013年,以一个开源项目的方式被大家熟知。 Docker的奠基者是dotcloud,一家开发PaaS平台的技术公司。 不过可惜的是,这家公司把Docker开源之后,于.
docker Cgroup Driver 更改
06-03
如果你想更改 DockerCgroup Driver,可以按照以下步骤进行操作: 1. 确认当前 Docker 使用的 Cgroup Driver。可以使用以下命令查看: ``` docker info | grep -i cgroup ``` 2. 安装所需的 Cgroup Driver...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值