在容器中使用CGroups

最新推荐文章于 2024-01-23 14:55:42 发布
最新推荐文章于 2024-01-23 14:55:42 发布
阅读量299 收藏
点赞数
文章标签: docker 运维 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuchenbei/article/details/128889843
版权

在容器中使用CGroups

我们在 Containerd 的容器中来使用 cgroup,比如使用 docker 启动一个 nginx 容器,并限制其使用内存为50M:

[root@master1 ~]# docker  run -d -m 50m --name nginx nginx:1.7.9
7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9
[root@master1 ~]# docker ps |grep nginx
7c53de927a80   nginx:1.7.9                                         "nginx -g 'daemon of…"   25 seconds ago   Up 24 seconds   80/tcp, 443/tcp   nginx
7dd9f07a43ce   nginx                                               "/docker-entrypoint.…"   2 days ago       Up 2 days       80/tcp            webserver

在使用docker run 启动容器的时候可以使用 -m 或 --memory 参数来现在内存,启动完成后该容器的 cgroup 会出现在分散在各个cgroup子系统的system.slice目录下面;

Ps:按照官方说明,启动完成后该容器的 cgroup 会出现在 名为 default 的目录下面,待探究。

那么这里与标准结果不一样,我通过以下步骤验证操作容器是否由cgroup控制组控制的:

  1. 通过docker inspect 查看容器id
  2. 在cgroup目录下查询是否存在
[root@master1 cgroup]# docker inspect nginx ##也可以grep过滤
[
    {
        "Id": "7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9",
        "Created": "2023-02-05T05:08:02.153805812Z",
        "Path": "nginx",
        "Args": [
            "-g",
            "daemon off;"
        ],
...

[root@master1 cgroup]# pwd
/sys/fs/cgroup

[root@master1 cgroup]# find ./ -name "*7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9*"
./perf_event/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./pids/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./blkio/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./freezer/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./devices/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./hugetlb/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./cpu,cpuacct/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./cpuset/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./net_cls,net_prio/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./memory/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope
./systemd/system.slice/docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope

上面我们启动的 nginx 容器 ID 的目录会出现在 /sys/fs/cgroup/memory/system.slice下面,该文件夹下面有很多和内存相关的 cgroup 配置文件,要进行相关的配置就需要在该目录下对应的文件中去操作:

[root@master1 system.slice]# ll docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope/
total 0
-rw-r--r-- 1 root root 0 Feb  5 00:08 cgroup.clone_children
--w--w--w- 1 root root 0 Feb  5 00:08 cgroup.event_control
-rw-r--r-- 1 root root 0 Feb  5 00:08 cgroup.procs
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.failcnt
--w------- 1 root root 0 Feb  5 00:08 memory.force_empty
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.failcnt
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.limit_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.max_usage_in_bytes
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.slabinfo
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.tcp.failcnt
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.tcp.limit_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.tcp.max_usage_in_bytes
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.tcp.usage_in_bytes
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.kmem.usage_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.limit_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.max_usage_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.memsw.failcnt
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.memsw.limit_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.memsw.max_usage_in_bytes
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.memsw.usage_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.move_charge_at_immigrate
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.numa_stat
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.oom_control
---------- 1 root root 0 Feb  5 00:08 memory.pressure_level
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.soft_limit_in_bytes
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.stat
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.swappiness
-r--r--r-- 1 root root 0 Feb  5 00:08 memory.usage_in_bytes
-rw-r--r-- 1 root root 0 Feb  5 00:08 memory.use_hierarchy
-rw-r--r-- 1 root root 0 Feb  5 00:08 notify_on_release
-rw-r--r-- 1 root root 0 Feb  5 00:08 tasks

我们这里需要关心的是 memory.limit_in_bytes 文件,该文件就是用来设置内存大小的,正常应该是 50M 的内存限制:

[root@master1 docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope]# cat memory.limit_in_bytes 
52428800
[root@master1 docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope]# cat ../memory.limit_in_bytes 
9223372036854771712

[root@master1 docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope]# bc ##辅助计算
bc 1.06.95
Copyright 1991-1994, 1997, 1998, 2000, 2004, 2006 Free Software Foundation, Inc.
This is free software with ABSOLUTELY NO WARRANTY.
For details type `warranty'. 

52428800/1024/1024(换算成50M)
50

我们看到本机目录下内存限制与我们创建容器时-m 50m 一致,而上级目录下内存限制仍然是默认的大小

同样我们的 nginx 容器进程 ID 也会出现在上面的 tasks 文件中:

[root@master1 docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope]# cat tasks 
29073
29107

我们可以通过如下命令过滤该进程号,可以看出第一行的 29073 就是 nginx 进程在主机上的进程 ID,下面的是这个进程下的线程:

[root@master1 docker-7c53de927a8013e2454e80ff1c56621a28578b4b471d5a9ef7ab0514062671e9.scope]# ps aux|grep nginx
root     29073  0.0  0.0  31064  2780 ?        Ss   00:08   0:00 nginx: master process nginx -g daemon off;
101      29107  0.0  0.0  31440  1656 ?        S    00:08   0:00 nginx: worker process

我们删除/停止这个容器后,/sys/fs/cgroup/相关目录下的容器 ID 文件夹也会自动删除。

liuchenbei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s排错过程----出现cgroupfs报错;FileContent --proc-sys-net-bridge-bridge-nf-call-iptables报错;
wnagshuihua的博客
12-30 1093
k8s排错过程----出现cgroupfs报错;FileContent --proc-sys-net-bridge-bridge-nf-call-iptables报错
通过containerd部署k8s集群环境及初始化时部分报错解决
树下一少年的博客
09-27 2255
通过containerd部署k8s集群环境 报错 /proc/sys/net/bridge/bridge-nf-call-iptables does not exist /etc/kubernetes/kubelet.conf already exists /etc/kubernetes/bootstrap-kubelet.conf already exists /etc/kubernetes/pki/ca.crt already exists Port 10250 is in use
容器原理之cgroup
最新发布
qq_41497074的博客
01-23 1189
cgroup(control group)是一个内核特性,用于限制、统计、隔离一组进程的资源(CPU、内存、磁盘、网络等),首字母不要大写。Google 工程师在 2006 年开始提出这个特性,最早叫“process containers”,为了避免造成歧义,在 2007 年改名为“control group”,在 2008 年 1 月发布的 Linux Kernel 2.6.24 合入主线分支。
Container技术之cgroup入门
flynetcn的专栏
08-07 357
作者张义飞 What is Cgroup? Cgroups 是 control groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO 等等)的机制。最初由 google 的工程师提出,后来被整合进 Linux 内核。Cgroups 也是 LXC 为实现虚拟化所使用的资源管理手段,可以说没有 cgroups 就没有 LXC。 摘自Linux Cgroups详解(王喆锋) What Cgroup
容器核心技术之cgroup
qq_29767087的博客
10-07 425
cgroup概述 Cgroups (Control Groups)是 Linux 下用于对一个或一组进程进行资源控制和监控的机制; 可以对诸如 CPU 使用时间、内存、磁盘 I/O 等进程所需的资源进行限制; 不同资源的具体管理工作由相应的 Cgroup 子系统(Subsystem)来实现 ; 针对不同类型的资源限制,只要将限制策略在不同的的子系统上进行关联即可 ; Cgroups 在不同的系统资源管理子系统以层级树(Hierarchy)的方式来组织管理:每个Cgroup 都可以包含其他的子 Cgrou
Linux容器核心技术之: Cgroups
开心就好的专栏
02-04 1872
文章目录Cgroups是什么?Cgroups的三个组件cgroup 用于对进程分组, 分组后便于统一设置资源限制;subsystem 用于对资源做限制及监控;hierarchy三个组件的相互关系cgroup 文件系统(cgroupfs)介绍Cgroups使用示例在cgroup添加和移动进程通过subsystem限制cgroup进程的资源参考 Cgroups是什么? 查看linux man page: https://man7.org/linux/man-pages/man7/cgroups.7.htm
node-cgroup-metrics:NodeJs模块,用于从容器内部读取cgroup指标
05-17
CGROUP-METRICS 用于读取指标的节点模块。 从/sys/fs/cgroup/读取。 内存指标: 从路径/sys/fs/cgroup/memory/memory读取: ... cpuacct.usage :自此cgroup获得的容器开始以来的总CPU时间(以纳秒为单位)
详解Docker 容器使用 cgroups 限制资源使用
01-20
上一篇文章将到 Docker 容器使用 linux namespace 来隔离其运行环境,使得容器的进程看起来就像爱一个独立环境运行一样。但是,光有运行环境隔离还不够,因为这些进程还是可以不受限制地使用系统资源,比如网络...
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
用于检查 docker 容器的最小工具用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL]一般安装 virtualenv env. env/bin/activatepip install -r ...
容器教程培训视频.zip
12-10
28在容器外执行容器内命令,mp4 29容器之间使用nk连接mp4 30容器镜像介个绍mp4 31基像制作mp4 32应用镜像制作 commrt-mp4 33dockerbuild使用 Dockerfilef创建应用镜像介绍mp4 34 dockerbuildt使用 Dockerfile...
Linux运维-运维课程MP4频-05容器-08Cgroup限制进程对memory使用案例.mp4
05-31
Linux运维-运维课程MP4频-05容器-08Cgroup限制进程对memory使用案例.mp4
Docker容器内存限制的方法
01-10
1.使用Docker自带的-m操作进行...GRUB_CMDLINE_LINUX=cgroup_enable=memory swapaccount=1 之后更新grub并重启可以解决 $ sudo update-grub $ sudo reboot 2.使用docker -m操作会使内存被限制为输入大小的两倍 $ su
Linux下cgroup
04-07
4. **微服务架构**:在微服务场景,每个服务可能被封装在一个单独的容器,通过cgroups和namespaces实现资源隔离和服务之间的通信控制。 文件列表的"rosen-namespaces-cgroups-lxc.pdf"很可能包含了关于如何...
go-sandbox:使用容器ptrace seccomp在GO实现的沙箱
03-29
注意:仅在Linux上可用,因为ptrace,unshare,cgroup仅在Linux上可用编译安装从安装最新的go编译器安装libseccomp库:(对于Ubuntu) apt install libseccomp-dev 构建并安装: go install github....
Docker底层技术Namespace Cgroup应用详解
01-10
Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ UTS:允许每个container拥有独立的hostname(主机名)和...
Docker容器之Cgroup资源配置!
weixin_55496718的博客
09-11 502
cgroup资源配置容器资源配置1、CPU利用率控制2、内存限额总结 cgroup是Control Groups的缩写,是Linux内核提供的一直可以限制、记录、隔离进程组所使用的物理资源,dokcer通过cgroup来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面 容器资源配置 构建容器时指定资源限制参数 --build-arg=[] : 设置镜像创建时的变量; --cpu-shares : 设置cpu使用权重; --cpu-period : 限制CPU CFS周期; --cpu-quot
kubernetes集群配置Cgroups驱动
rendongxingzhe的博客
05-06 5289
Cgroups概念  cgroups 的全称是 Linux Control Groups,主要作用是限制、记录和隔离进程组(process groups)使用的物理资源(cpu、memory、IO 等)。 systemd是系统自带的cgroup管理器, 系统初始化就存在的, 和cgroups联系紧密,为每一个进程分配cgroups, 用它管理就行了. 如果设置成cgroupfs就存在2个cgroup控制管理器, 实验证明在资源有压力的情况下,会存在不稳定的情况。 由于 kubeadm 把 kubele
containerd做为k8s的容器运行时配置先决条件
草莓甜甜圈的博客
06-12 605
v1.24 之前的 Kubernetes 版本直接集成了 Docker Engine 的一个组件,名为。这种特殊的直接整合不再是 Kubernetes 的一部分 (这次删除被作为 v1.20 发行版本的一部分你可以阅读以了解此删除可能会如何影响你。要了解如何使用 dockershim 进行迁移, 请参阅。如果你正在运行 v1.27 以外的 Kubernetes 版本,查看对应版本的文档。
kubernetes系列文章三:选择containerd作为容器运行时
zxy1981742484的博客
08-22 238
kubernetes使用containerd作为运行时
容器的指定cgroup子系统
05-12
容器,可以使用`--cgroup-parent`选项来指定Cgroup子系统。例如,如果要将容器的CPU使用限制为50%,可以使用以下命令: ``` docker run --cgroup-parent=/myapp -it --cpu-quota=50000 myapp ``` 上述命令将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值