runc中文翻译系列四 systemd cgroup 驱动

已于 2024-03-04 16:06:37 修改
阅读量119 收藏 1
点赞数
分类专栏: docker 文章标签: 云原生 containerd k8s
于 2024-02-14 21:15:39 首次发布
原文链接:https://github.com/opencontainers/runc/blob/main/docs/systemd.md
版权

默认情况下,runc 会自行创建 cgroup 并设置 cgroup 限制(称为 fs cgroup 驱动程序).当给出 -systemd-cgroup全局选项时(如 runc --systemd-cgroup run ...),runc 将切换到 systemd cgroup 驱动程序。本文档将介绍其特性和特殊性。

systemd 单元名称和占位符

创建容器时,runc 会请求 systemd(通过 dbus)为容器创建一个瞬时单元,并将其放置在指定的片段(slice)中。单元和所含片段的名称从容器的
运行时规范中得出:

  1. 如果设置了 Linux.CgroupsPath,则其形式应为 [slice]:[prefix]:[name]。 这里的 slice 是容器所在的 systemd slice。 如果使用了 cgroup v2 并创建了rootless容器,为 user.slice。其他情况下就默认为system.slice

    请注意,slice 可以包含破折号来表示子片段 (例如,"user-1000.slice "是一个正确的符号,表示 "user.slice "的子片。 ),但不能包含斜线(例如
    user.slice/user-1000.slice 无效)。

-slice代表根切片。

接下来,"prefix"和 "name"被用来组成单元名称,即是 <前缀>-<名称>.scope,除非 name 有后缀 .slice,在这种情况下,prefix 在这种情况下,prefix 将被忽略,name 则按原样使用。

  1. 如果 Linux.CgroupsPath 未设置或为空,其工作方式等同于设置为:runc:<container-id>。请参阅上面的说明,了解它将转换成什么。

如上所述,创建的单元可以是一个 scope 或一个 slice。对于scope,runc 通过 Slice= systemd 属性指定其父切片、并设置 Delegate=true。对于slice,runc 会通过_Wants_属性指定对父分片的弱依赖关系。

资源限制

无论设置了任何限制,runc 始终会启用所有控制器的会计功能。这意味着它会无条件地为systemd单元创建如下属性:

  • CPUAccounting=true
  • IOAccounting=true (对于 cgroup v1,为 BlockIOAccounting)
  • MemoryAccounting=true
  • TasksAccounting=true

runc 通过将运行时规范资源转换为 systemd 单位资源,来设置 systemd 单位的资源限制。

这种转换并不完全,因为有些 cgroup 属性无法通过 systemd 设置。 因此,runc systemd cgroup 驱动程序是由 fs 驱动程序支持(换句话说,cgroup 限制首先转换为 systemd单元属性,然后再写入 cgroupfs 文件)。

由 runc 转换为 systemd 单位属性的运行时规范资源集取决于内核 cgroup 版本(v1 或 v2),以及所运行的 systemd 版本。如果使用较旧的 systemd 版本(不支持某些资源),runc 不会设置这些资源。

下表概述了哪些属性需要翻译。

cgroup v1
runtime spec 资源systemd 属性名称systemd最低版本
memory.limitMemoryLimit
cpu.sharesCPUShares
blockIO.weightBlockIOWeight
pids.limitTasksMax
cpu.cpusAllowedCPUsv244
cpu.memsAllowedMemoryNodesv244
cgroup v2
runtime spec 资源systemd 属性名称systemd最低版本
memory.limitMemoryMax
memory.reservationMemoryLow
memory.swapMemorySwapMax
cpu.sharesCPUWeight
pids.limitTasksMax
cpu.cpusAllowedCPUsv244
cpu.memsAllowedMemoryNodesv244
unified.cpu.maxCPUQuota, CPUQuotaPeriodSecv242
unified.cpu.weightCPUWeight
unified.cpu.idleCPUWeightv252
unified.cpuset.cpusAllowedCPUsv244
unified.cpuset.memsAllowedMemoryNodesv244
unified.memory.highMemoryHigh
unified.memory.lowMemoryLow
unified.memory.minMemoryMin
unified.memory.maxMemoryMax
unified.memory.swap.maxMemorySwapMax
unified.pids.maxTasksMax

有关 systemd 单元资源属性的文档,请参阅
systemd.resource-control(5)` 手册页面。

辅助属性

systemd 单元的辅助属性(如创建容器后通过 systemctl show <unit-name>显示)可以添加注释到容器运行时规范 (config.json)来设置(或覆盖)。
示例:

        "annotations": {
                "org.systemd.property.TimeoutStopUSec": "uint64 123456789",
                "org.systemd.property.CollectMode":"'inactive-or-failed'"
        },

上述操作将设置以下属性:

  • TimeoutStopSec 为 2 分 3 秒;
  • CollectMode 为 “inactive-or-failed”。

这些值必须是 gvariant 文本格式,详见gvariant 文档 中所述。

要想知道 systemd 期望某个参数使用哪种类型,请查阅 systemd 资料。

niufw_qb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生进阶之容器】第五章容器运行时5.3.2--runC原理解读
junbaozi的专栏
04-02 391
runC可以启动并管理符合OCI标准的容器。简单地说,runC需要利用OCI bundle创建一个独立的运行环境,并执行指定的程序。在Linux平台上,这个环境就是指各种类型的Namespace以及Capability等等配置。runC由Go语言实现,当前(2018.12)最新版本是v1.0.0-rc6,代码的结构可分为两大块,一是根目录下的go文件,对应各个runC命令,二是负责创建/启动/管理容器的libcontainer,可以说runC的本质都在libcontainer。
linux启动参数关闭cgroup,Linux的cgroup功能(三):cgroup controller汇总和控制器的参数(文件接口)...
weixin_32251525的博客
05-12 1583
cgroup controller列表cgroup v1 支持的controllercgroup v2 支持的controller说明这里将罗列cgroup支持的controllers,每个controller的文件接口或者说是配置参数,以及它们的含义。这是一项持续性工作,这篇笔记不会一次性完成,而是逐渐补充丰富。@2019-02-18 15:55:04cgroup相关笔记汇总:又找到一些关于cg...
runC源码分析——cgroup
热门推荐
WaltonWang's Blog
12-27 1万+
runC中cgroup相关部分代码的解读。由于代码本身和原理都相对简单,安静的读一遍代码即可。
Runc 与 Cgroups
IceberGu的博客
05-13 1万+
Runc 可以算是启动创建容器的最后一步,其中设置 Cgroups,隔离 namespaces,配置网络,挂载相应的卷 等一系列操作 本文将主要讲 runc 是如何去操作系统中的 Cgroups,实现对资源的限制和管理的 Runc 支持三种方式来限制管理资源,分别是使用 Cgroups V1, Cgroups V2, Systemd 本文将主要讲解 Cgroups V1, 关于 Cgroups V1 相关的基本概念可以参考 Linux Cgroups V1 介绍与使用 Cgroup Manager Cgr
runc中文翻译系列三 cgroup v2
02-14 126
云原生大火之下,仍没有发现runc的中文文档,所以开始动手翻译一下。欢迎不吝指正,本片主要介绍runc的控制组的系统支持、配置。
cgroup driver: cgroupfs还是systemd
因上努力,果上随缘。但行好事,莫问前程。
09-15 2769
Cgroup 是一个 Linux 内核特性,对一组进程的资源使用(CPU、内存、磁盘 I/O 和网络等)进行限制、审计和隔离。cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。简单说,cgroups 可以限制、记录任务组所使用的物理资源。
docker: Error response from daemon: OCI runtime create failed: systemd cgroup flag passed, but syste
河静
04-22 1681
问题现象: 查看daemon.json文件: { "graph": "/data/docker", "storage-driver": "overlay2", "insecure-registries": ["registry.access.redhat.com","quay.io"], "registry-mirrors": ["https://lguv5b5n.mirror.aliyuncs.com"], "bip": "172.28.29.1/24", "exec-opts"
容器运行时runc内部实现深入解读
y_chen_007的博客
05-11 1860
runc 内部实现深入解读 最近把runc的实现代码仔细的看了一遍,有点复杂,特别是nsenter那块反反复复看了不下三遍才搞懂是个什么机制,不过确实写得不错,防止日后遗忘,另外也给其他朋友一点参考(网上有一些关于runc的介绍文章,但是没有nsenter这块的介绍) 概要设计 runc的实现分为两个大阶段: 第一个阶段叫bootstrap, 设置一些环境以及配置信息, 创建匿名管道, 把容器的...
kubelet失败,cgroupfs”与docker cgroup驱动程序不同
最新发布
weixin_64348970的博客
06-01 148
systemd是系统自带的cgroup管理器, 系统初始化就存在的, 和cgroups联系紧密,为每一个进程分配cgroups, 用它管理就行了. 如果设置成cgroupfs就存在2个cgroup控制管理器, 实验证明在资源有压力的情况下,会存在不稳定的情况。修改/etc/systemd/system/kubelet.service.d/10-kubeadm.conf文件,增加–cgroup-driver=systemd (官方推荐用systemd)3.2 修改kubelet的Cgroup Driver。
k8s docker cgroup驱动问题 —— 筑梦之路
筑梦之路
11-10 794
在 Linux 操作系统上,控制组(CGroup)用于限制分配给进程的资源。kubelet 和底层容器运行时都需要对接控制组来强制执行 为 Pod 和容器管理资源 并为诸如 CPU、内存这类资源设置请求和限制。若要对接控制组,kubelet 和容器运行时需要使用一个 cgroup 驱动。关键的一点是 kubelet 和容器运行时需使用相同的 cgroup 驱动并且采用相同的配置。
kubernetes集群配置Cgroups驱动
rendongxingzhe的博客
05-06 5435
Cgroups概念  cgroups 的全称是 Linux Control Groups,主要作用是限制、记录和隔离进程组(process groups)使用的物理资源(cpu、memory、IO 等)。 systemd是系统自带的cgroup管理器, 系统初始化就存在的, 和cgroups联系紧密,为每一个进程分配cgroups, 用它管理就行了. 如果设置成cgroupfs就存在2个cgroup控制管理器, 实验证明在资源有压力的情况下,会存在不稳定的情况。 由于 kubeadm 把 kubele
containerd中文翻译系列(十二)非root用户运行
02-08 564
云原生大火之下,仍没有发现containerd的中文文档,所以开始动手翻译一下。欢迎不吝指正。此为第九篇,主要介绍container非root用户运行方式
彻底搞懂 Kubernetes 中的 Cgroup
云原生实验室
07-19 2749
❝本文转自田飞雨的博客,原文:https://www.jianshu.com/p/dd7b6b6fe1a0,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yangcgroups 简介❝cgroups(是 control groups 的简写)是 Linux 内核的一个功能,用来限制、控制与分离一个进程组的资源(如 CPU、内存、磁盘输入输出等)...
如何在 Kubernetes 中快速启用 Cgroup V2 支持
easylife206的专栏
01-21 1456
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !什么是 cgroup????️Reference:control groups(控制组),通常被称为cgroup,是Linux内核的一项功能。它允许将进程组织成分层的组,然后限制和监控各种资源的使用。内核的cgroup接口是通过一个叫做cgroupfs的伪文件系统提供的。分组是在核心的cgroup内核代码中实现的,而资源跟...
Kubelet --cgroup-driver=systemd
小楼一夜听春雨,深巷明朝卖杏花
06-16 3238
上面可以看到cgroup是通过一系列的文件来管控所有的资源分配的,包括创建了一个cgroup,同时将一个cgroup和这个进程进行关联,也就是将进程号echo到那个procs文件里面,同时修改cpu的quota来限制其使用的资源,这一整套都是cgroup的文件系统,cgroup本身可以有不同的driver。当操作系统使用systemd作为init system时,初始化进程生成一个根cgroup目录结构并作为cgroup管理器。systemd与cgroup紧密结合,并且为每个systemd unit分配cg
【runc 源码分析】cgroup 源码分析
zhonglinzhang
08-15 4748
1 Manager 接口      libcontainer/cgroups/cgroups.go 中接口 Manager 定义了操作 cgroup 的方法 type Manager interface { // Applies cgroup configuration to the process with the specified pid Apply(pid int) erro...
Cgroup drivers:systemd cgroupfs 区别
刘元林的博客
11-10 3627
通过下面内容可知:systemd和cgroupfs都是CGroup管理器,而systemd是大多数Linux发行版原生的。如果Docker运行时和kubelet的CGroup驱动配置为cgroupfs,则意味着使用了systemd作为init system的系统上有两个不同的CGroup管理器。 https://kubernetes.io/docs/setup/production-environment/container-runtimes/ Whensystemdis chosen as th..
cgroup driver设置为cgroupfs和systemd的区别
changyanmanman的专栏
06-10 1万+
1、在说Cgroupfs与Systemd之间的区别之前,我们需要先了解一下什么是Cgroup? Cgroup,全称Control Group(控制组),是Linux系统内核提供的一个特性(Linux 2.6.24内核开始将Cgroup加入主线),主要用于限制和隔离一组进程对系统资源的使用,也就是做资源QoS。可控制的资源主要包括CPU、内存、block I/O、网络带宽等等。 2、什么是Cgroupfs? Cgroup提供了一个原生接口并通过cgroupfs提供(从这句话我们可以知道cgroupfs就
containerd 配置cgroup驱动
12-16
要配置containerd的cgroup驱动,可以按照以下步骤...`driver`参数指定了cgroup驱动,可以选择`systemd`或`cgroupfs`。 5. 保存并关闭配置文件。 6. 重启containerd服务,例如:`systemctl restart containerd`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值