Docker是如何使用Cgroups的

已于 2022-07-21 11:02:27 修改
阅读量406 收藏 1
点赞数 1
于 2022-06-17 15:31:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36657175/article/details/125259140
版权

docker 容器 运维

Cgroups用法

创建并挂载一个hierarchy

在新建的hierarchy上的cgroup的根节点中扩展出两个子cgroup

通过subsystem来限制cgroup中进程的资源

Docker中的Cgroups

环境说明:

[root@fqhnode01 ~]# uname -a
Linux fqhnode01 3.10.0-514.6.1.el7.x86_64
[root@fqhnode01 ~]# docker version
Client:
 Version:      1.18.1

创建并挂载一个hierarchy

[root@fqhnode01 home]# mkdir cgroups-test
[root@fqhnode01 home]# mount -t cgroup -o none,name=cgroups-test cgroups-test ./cgroups-test
[root@fqhnode01 home]# ll cgroups-test/
总用量 0
-rw-r--r--. 1 root root 0 111 12:31 cgroup.clone_children
--w--w--w-. 1 root root 0 111 12:31 cgroup.event_control
-rw-r--r--. 1 root root 0 111 12:31 cgroup.procs
-r--r--r--. 1 root root 0 111 12:31 cgroup.sane_behavior
-rw-r--r--. 1 root root 0 111 12:31 notify_on_release
-rw-r--r--. 1 root root 0 111 12:31 release_agent
-rw-r--r--. 1 root root 0 111 12:31 tasks

在新建的hierarchy上的cgroup的根节点中扩展出两个子cgroup

[root@fqhnode01 cgroups-test]# cd cgroups-test/
[root@fqhnode01 cgroups-test]# mkdir cgroup-1 cgroup-2
[root@fqhnode01 cgroups-test]# ls
cgroup-1  cgroup.clone_children  cgroup.procs          notify_on_release  tasks
cgroup-2  cgroup.event_control   cgroup.sane_behavior  release_agent
[root@fqhnode01 cgroups-test]# 
[root@fqhnode01 cgroups-test]# tree
.
├── cgroup-1
│   ├── cgroup.clone_children
│   ├── cgroup.event_control
│   ├── cgroup.procs
│   ├── notify_on_release
│   └── tasks
├── cgroup-2
│   ├── cgroup.clone_children
│   ├── cgroup.event_control
│   ├── cgroup.procs
│   ├── notify_on_release
│   └── tasks
├── cgroup.clone_children
├── cgroup.event_control
├── cgroup.procs
├── cgroup.sane_behavior
├── notify_on_release
├── release_agent
└── tasks
2 directories, 17 files

可以看出,在一个cgroup的目录下创建文件夹时,系统Kernel会自动把该文件夹标记为这个cgroup的子cgroup,它们会继承父cgroup的属性。

几个文件功能说明:

tasks,标识该cgroup下面的进程ID。如果把一个进程ID写入了tasks文件,就是把该进程加入了这个cgroup中。
cgroup.procs 是树中当前cgroup中的进程组ID。如果是根节点,会包含所有的进程组ID。
cgroup.clone_children,默认值为0。如果设置为1,子cgroup会继承父cgroup的cpuset配置。
往一个cgroup中添加和移动进程
首先,查看一个进程目前所处的cgroup

[root@fqhnode01 cgroup-1]# echo $$
1019
[root@fqhnode01 cgroup-1]# cat /proc/1019/cgroup 
12:name=cgroups-test:/
11:devices:/
10:memory:/
9:hugetlb:/
8:cpuset:/
7:blkio:/
6:cpuacct,cpu:/
5:freezer:/
4:net_prio,net_cls:/
3:perf_event:/
2:pids:/
1:name=systemd:/user.slice/user-0.slice/session-1.scope

从name=cgroups-test:/可以看到当前进程($$)位于hierarchy cgroups-test:/的根节点上。

把进程移动到节点cgroup-1/中

[root@fqhnode01 cgroups-test]# cd cgroup-1/
[root@fqhnode01 cgroup-1]# cat tasks 
[root@fqhnode01 cgroup-1]# 
[root@fqhnode01 cgroup-1]# cat cgroup.procs 
[root@fqhnode01 cgroup-1]#

可以看到目前节点cgroup-1的tasks文件是空的。

[root@fqhnode01 cgroup-1]# echo $$ >> tasks
[root@fqhnode01 cgroup-1]# cat /proc/1019/cgroup 
12:name=cgroups-test:/cgroup-1
11:devices:/
10:memory:/
9:hugetlb:/
8:cpuset:/
7:blkio:/
6:cpuacct,cpu:/
5:freezer:/
4:net_prio,net_cls:/
3:perf_event:/
2:pids:/
1:name=systemd:/user.slice/user-0.slice/session-1.scope

[root@fqhnode01 cgroup-1]# cat cgroup.procs 
1019
1436
[root@fqhnode01 cgroup-1]# cat tasks 
1019
1437

可以看到,当前进程1019已经加入到cgroups-test:/cgroup-1中了。

需要注意的是,到目前为止,上面创建的hierarchy并没有关联到任何的subsystem,所以还是没有办法通过上面的cgroup节点来限制一个进程的资源占用。

通过subsystem来限制cgroup中进程的资源
系统已经默认为每一个subsystem创建了一个hierarchy,以memory的hierarchy为例子

#mount |grep memory
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)

可以看到memory subsystem的hierarchy的目录是/sys/fs/cgroup/memory。 这个目录就跟上面我们创建的目录类似,只不过它是系统默认创建的,已经和memory subsystem关联起来,可以限制其名下进程占用的内存。

安装stress工具

yum install stress.x86_64

不使用Cgroups限制,启动一个占用200M内存的stress进程

[root@fqhnode01 memory]# stress --vm-bytes 200m --vm-keep -m 1
测试结果如下,本机内存为2G,所以2G*10%=200M:
```shell
#top
 PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND                                                     
 1851 root      20   0  212060 204796    132 R 96.3 10.0   0:18.27 stress

使用Cgroups进行限制,仅允许使用100M内存
首先参照前面步骤,在memory 的根节点下新建一个cgroup节点test-limit-memory

[root@fqhnode01 memory]# cd /sys/fs/cgroup/memory
[root@fqhnode01 memory]# mkdir test-limit-memory

然后,设置该cgroup节点的最大内存占用为100M

[root@fqhnode01 memory]# cd test-limit-memory/
[root@fqhnode01 test-limit-memory]# cat memory.limit_in_bytes 
9223372036854771712
[root@fqhnode01 test-limit-memory]# echo "100m" >> ./memory.limit_in_bytes 
[root@fqhnode01 test-limit-memory]# 
[root@fqhnode01 test-limit-memory]# cat memory.limit_in_bytes 
104857600

然后,把当前进程移动到这个cgroup节点test-limit-memory中

[root@fqhnode01 test-limit-memory]# cat tasks 
[root@fqhnode01 test-limit-memory]# 
[root@fqhnode01 test-limit-memory]# echo $$ >> tasks 
[root@fqhnode01 test-limit-memory]# cat tasks 
1019
1878

最后,再次运行stress --vm-bytes 200m --vm-keep -m 1,测试结果如下:

 PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND                                                     
 1881 root      20   0  212060  87924    132 R 37.0  4.3   0:12.05 stress

观察显示内存占用最大值只能达到5%,也就是100m。 成功地使用Cgroups把stree进程的内存占用限制到了100m的范围之内。

最后说一下上面创建的/sys/fs/cgroup/memory/test-limit-memory文件会在重启之后被系统自动删除。 如果要删除一个cgroup,用umount命令。

Docker中的Cgroups

[root@fqhnode01 memory]# docker run -itd  -e is_leader=true -e node_name=aaa -m 128m 98c2ef0aa9bb
e19acd747074941e9062f2beb5163927b097296f31b7a0317ecb93387cc16466

docker 会自动在memory hierarchy的目录下新建一个cgroup节点

[root@fqhnode01 e19acd747074941e9062f2beb5163927b097296f31b7a0317ecb93387cc16466]# pwd
/sys/fs/cgroup/memory/docker/e19acd747074941e9062f2beb5163927b097296f31b7a0317ecb93387cc16466
[root@fqhnode01 e19acd747074941e9062f2beb5163927b097296f31b7a0317ecb93387cc16466]# cat memory.limit_in_bytes 
134217728
[root@fqhnode01 e19acd747074941e9062f2beb5163927b097296f31b7a0317ecb93387cc16466]# cat memory.usage_in_bytes 
66355200

memory.limit_in_bytes 内存限制
memory.usage_in_bytes 该cgroup中的进程已经使用的memory

C lover
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
详解Docker 容器使用 cgroups 限制资源使用
09-30
本篇文章主要介绍了Docker 容器使用 cgroups 限制资源使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
linux 内核资源配置--cgroups详解以及在docker中的应用
岳来的博客
06-21 4801
linux 内核资源配置--cgroups详解以及在docker中的应用
Docker基础-cgroup
可乐不解渴
09-13 1127
cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一 系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。简单说, cgroups 可以限制、记录任务组所使用的物理资源。本质上来说, cgroups 是内核附加在程序上的一系列钩子(hook),通过程序运行时对资源的调度触发相应的钩子以达到资源追踪和限制的目的。
一文带你搞懂 Docker 容器的核心基石 Cgroups
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-31 275
Cgroups 是 Linux 系统内核提供的一种机制,这种机制可以根据需求将一些列系统任务机器子任务整合或分离到按资源划分登记的不同组内,从而为系统资源管理提供一个的框架。简单地说,cgroups 可以限制、记录任务组所使用的物理组员(比如 CPU、Memory、IO等),为容器实现虚拟化提供了基本保证,是构建 Docker 等一些列虚拟化管理工具的基石。今天我们就来详细介绍一下 cgroups...
【云原生】Docker网络及Cgroup资源控制
cxin1225的博客
07-21 840
未创建自定义网络时,创建指定IP容器的测试指定容器IP的方式:注意:创建指定IP的容器也需要基于docker网卡的IP网段。
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
Docker cgroup 信息不赞成这样做。用于检查 docker 容器的最小工具用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL]一般安装 virtualenv env. env/bin/...
docker cgroup 资源监控的详解
09-30
Docker Cgroup资源监控详解主要涉及对Docker容器资源管理与监控的技术细节,本文内容将详细阐述如何通过Cgroups实现对Docker容器资源使用的限制和监控。 首先需要了解的是cgroup(control group)的概念。cgroup是...
c语言实现一个简单docker, 支持cgroup v2, overlayfsc语言实现的一个简单docker
03-16
c语言实现的一个简单docker, 支持cgroup v2, overlayfsc语言实现的一个简单docker, 支持cgroup v2, overlayfs, 桥接网络, 端口映射.zip 源码是经过本地编译可运行的,下载完成之后配置相应环境即可使用。源码功能都...
Docker底层技术Namespace Cgroup应用详解
09-29
在本篇文章里小编给大家整理的是关于Docker底层技术Namespace Cgroup应用的相关知识点,需要的朋友们学习下。
dockercgroups资源限制
种一颗树最好的时间是十年前,其次是现在!
09-16 2436
通过-cpu-share并不是cpu资源的绝对数量,而是一个相对的权重值,某个容器最终能分配到的cpu资源取决于它的cpu share占所有容器 cpu share综合的比例。Block IO 是另一种可以限制容器使用的资源,Block IO 指的是磁盘的读写,docker可通过设置权重,限制bps和iops的方式控制容器读写磁盘的带宽。共享式CPU资源,是按比例切分CPU资源,Docker默认每个容器的权值为1024。在有多个容器竞争CPU时,我们可以设置每个容器能会用的CPU时间比例,这个比例叫做。
十七、Docker之Cgroup资源配置
margu_168的博客
06-21 1805
Cgroup,全称Control Groups,是一个非常强大的linux内核工具,它不仅可以限制被namespace 隔离起来的资源,还可以为资源设置权重、计算使用量、操控进程启停等等。Docker通过Cgroup 来控制容器使用资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了对常见的资源配额和使用量控制管理。Cgroup是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如CPU、内存、磁盘lO等等)的机制,被LXC、Docker等很多项目用于实现进程资源控制。
Docker学习五:资源限制——Cgroups
weixin_41402069的博客
07-20 958
Docker学习系列
Docker② —— Cgroups详解
qq_51148151的博客
04-22 1438
Cgroups详解
docker的资源控制管理——Cgroups
m0_56754510的博客
08-17 401
默认情况下,所有容器能平等地读写磁盘,可以通过设置 --blkio-weight 参数来改变容器bliock IO 的优先级。–blkio-weight 与 --cpu-share类似,设置的是相对权重值,默认为500。Block IO 是另一种可以限制容器使用的资源,Block IO 指的是磁盘的读写,docker可通过设置权重,限制bps和iops的方式控制容器读写磁盘的带宽。Docker通过-cpu-share指定cpu份额,默认为1024,值为1024的倍数。另一个终端top查看。
【云原生】Docker Cgroups资源控制管理
Utopia_dower的博客
08-21 1335
cgroups,是一个非常强大的linux内核工具,他不仅可以限制被namespace 隔离起来的资源,还可以 为资源设置权重、计算使用量、操控进程启停等等。所以cgroups (Control groups) 实现了对资源的配额和度量。docker run -cpu-period #设置调度周期时间1000~1000000-cpu-quota #设置容器进程的CPU占用时间,要与调度周期时间成比例--cpu-shares #设置多个容器之间的CPU资源占用比。
docker-cgroups概述
liuchenbei的博客
02-05 210
Task: 在 cgroup 中,task 可以理解为一个进程,但这里的进程和一般意义上的操作系统进程不太一样,实际上是进程 ID 和线程ID 列表。CGroup: 即控制组,一个控制组就是一组按照某种标准划分的Tasks,可以理解为资源限制是以进程组为单位实现的,一个进程加入到某个控制组后,就会受到相应配置的资源限制。Hierarchy: cgroup 的层级组织关系,cgroup 以树形层级组织,每个 cgroup 子节点默认继承其父 cgroup
Docker核心技术:Docker原理之Cgroups
最新发布
a1369760658的博客
07-21 1145
本文是 Docker核心技术 系列文章:Docker原理之Cgroups
DOCKER安装及使用SSCHA
lielie12138的博客
02-23 895
# 添加docker用户组,一般已存在,不需要执行 sudo groupadd docker # 将登陆用户加入到docker用户组中 sudo gpasswd -a $USER docker # 更新用户组 newgrp docker # 测试docker命令是否可以使用sudo正常使用 docker version #增加权限 sudo chmod a+rw /var/run/docker.sock ......
docker中的cgroup是什么东西
06-10
Docker 使用 Cgroup 来限制容器可以使用的资源。例如,可以使用 Cgroup 限制容器使用的 CPU、内存、磁盘、网络等资源。在 Docker 中,每个容器都有自己的 Cgroup 层次结构,Docker 会在每个容器中创建一个 Cgroup。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值