小白手套的 Docker 奇幻旅行之探秘 cgroups
喜迎周四
让我们在一个舒缓的 BGM 中开始今日话题 docker cgroups
前情提要
上章,小白手套已经理解 Docker 核心之一 Namespace,新的问题又出现了,小白手套心想:如果 Linux 中运行容器,我怎么可以让这个容器只使用指定给自己的资源呢,比如 我的宿主机有 16G 内存,我只要当前这个容器使用 2G,应该怎么办?
主角介绍
- 小李-某司技术一把手,年纪轻轻,财务自由,开小米 SU7
- 小白手套-某司技术 家财万贯,只为体验生活,上级小李,开法拉利
cgroups
参考 wikipedia 对 cgroups 的介绍
cgroups 最初由 Paul Menage 和 Rohit Seth 编写,并于 2007 年合并到主线 Linux 内核中。后来称为 cgroups 版本 1。
cgroups (控制组的缩写)是一个Linux 内核功能,它限制、说明和隔离一组进程的资源使用(CPU、内存、磁盘 I/O 等) 。
Google的工程师于 2006 年开始以“进程容器”的名义开发此功能。2007年底,术语更改为“控制组”,以避免Linux内核上下文中术语“容器”的多重含义造成的混淆,并且控制组功能在内核版本 2.6 中被合并到Linux内核主线中 于 2008 年 1 月发布。
此后,开发人员添加了许多新功能和控制器,例如2014 年对kernfs的支持、防火墙、和统一层次结构。cgroup v2 已合并到 Linux 内核 4.5 中,对界面和内部功能进行了重大更改。
用大白话来讲:cgroups 的作用就类似一个工头,就好比盖房子,如果你要建三个卧室,要建多大的平方,由工头来监督,保证不会因为某间卧室而占用其他卧室的面积。换句话讲,Cgroups 保证容器内的应用程序不耗尽系统的资源,保证容器之间有序、平衡的共享系统资源。
cgroups 特点
-
资源限制
- 组可以设置为不超过配置的内存限制,其中还包括文件系统缓存、I/O 带宽限制、CPU 配额限制、CPU 设置限制、最大打开文件数。
-
优先顺序
- 某些组可能会获得更大份额的 CPU 利用率或磁盘 I/O 吞吐量
-
会计
- 测量组的资源使用情况,例如可用于计费目的
-
控制
- 冻结进程组、它们的检查点和重新启动
cgroups 核心
子系统是 cgroups 实现资源限制的基础,一个子系统代表一类资源调度控制器。
可以使用
mount -t cgroup
查看当前 Linux 有哪些子系统
cgroups 实战
Cpu 限制
首先,在 cpu 子系统下创建 cgroup ,然后限制在这个 cgroups 下的进程只能使用 0.1 核CPU
将核数写入
cpu.cfs_quota_us
就可以 1 核是(100000)
然后创建一个新的进程,一个死循环,加入到 cgroup 中,验证是否最高只能到 0.1 核
![image-20240111021209053](https://img-blog.csdnimg.cn/img_convert/b25217043cdb686a9c784f645682d765.png)
接下来查看 TOP
,可以看到死循环下 CPU 最高只能到 10%
![image-20240111021323317](https://img-blog.csdnimg.cn/img_convert/d03edc2b5ec6ed8397cb4b36cd3e99c7.png)
Memtester 工具介绍
CPU 我们可以通过 死循环,那么在实现内存限制,需要用到 Memtester 工具
memtester
是一个用于测试计算机系统中内存稳定性和可靠性的工具。它的主要作用是模拟内存负载,检查计算机在高内存使用情况下是否会出现问题,如内存泄漏或硬件故障。官方文档:https://github.com/jnavila/memtester
Memory 限制
首先,在 memory 子系统下创建 cgroup,然后限制在这个 cgroups 下的进程只能使用 50M,单位是字节
![image-20240111021719194](https://img-blog.csdnimg.cn/img_convert/06a6f5e1979b58d8f8c8024900c1ead1.png)
然后创建一个新的进程,加入到 cgroup 中,验证是否最高可以到 50M,可以看到申请 55M 内存,结果不通过
![image-20240111022306212](https://img-blog.csdnimg.cn/img_convert/9a6d40c2ba5c1569b48ab3a3c107dd97.png)
如果申请 40M 呢?当然,可以看到是成功的。
![image-20240111022413054](https://img-blog.csdnimg.cn/img_convert/c95d7be6ac650cdf7ef152638d2e5f58.png)
结语
Docker 实现隔离与限制就是依赖 Namespace 和 cgroups 实现的,是不是非常简单。SO,你可以用 Bash 实现一个 Docker 吗?试试吧,反正又不花钱。
祝你好运
参考文献: