[从零开始学容器] 8.容器的资源隔离与资源限制

最新推荐文章于 2024-06-16 09:00:00 发布
最新推荐文章于 2024-06-16 09:00:00 发布
阅读量530 收藏
点赞数 1
分类专栏: 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38737845/article/details/111030003
版权

资源隔离

Docker的资源隔离是基于Namespace的。在Linux中有8种Namespace,Docker仅使用了其中6种:Mount Namespace、PID Namespace、Net Namespace、IPC Namespace、UTS Namespace、User Namespace。

各个Namespace的作用

名称作用
Mount Namespace隔离不同的进程或进程组看到的挂载点,即不同的进程看到不同的挂载目录, 在独立的 Mount Namespace 内创建挂载目录是不影响主机的挂载目录的。
PID Namespace隔离进程,在不同的PID Namespace中,进程可以拥有相同的PID号。
UTS Namespace隔离主机名,允许每个UTS Namespace拥有一个独立的主机名
IPC Namespace隔离进程间通信。PID Namespace 和 IPC Namespace 一起使用可以实现同一 IPC Namespace 内的进程彼此可以通信,不同 IPC Namespace 的进程却不能通信
User Namespace隔离用户和用户组。一个比较典型的应用场景就是在主机上以非 root 用户运行的进程可以在一个单独的 User Namespace 中映射成 root 用户
Net Namespace隔离网络设备、IP地址和端口等信息。Net Namespace 可以让每个进程拥有自己独立的 IP 地址,端口和网卡信息

Namespace对于Docker

当 Docker 新建一个容器时, 它会创建这六种 Namespace,然后将容器中的进程加入这些 Namespace 之中,使得 Docker 容器中的进程只能看到当前 Namespace 中的系统资源。

正是由于 Docker 使用了 Linux 的这些 Namespace 技术,才实现了 Docker 容器的隔离,可以说没有 Namespace,就没有 Docker 容器。

资源限制

Docker容器有了Namespace之后,可以进行资源隔离了,但是使用的还是宿主机的CPU、内存等资源。如果容器占据了太多的资源,那么会影响主机的正常运行。在这里,Docker使用Linux内核的另一个核心技术cgroups

cgroups

cgroups(全称:control groups)是 Linux 内核的一个功能,它可以实现限制进程或者进程组的资源(如 CPU、内存、磁盘 IO 等)

cgroups的功能

功能描述
资源限制限制资源的使用量,例如我们可以通过限制某个业务的内存上限,从而保护主机其他业务的安全运行。
优先级控制不同的组可以有不同的资源( CPU 、磁盘 IO 等)使用优先级。
审计计算控制组的资源使用情况。
控制控制进程的挂起或恢复。

cgroups的核心概念

概念描述
子系统(subsystem)是一个内核的组件,一个子系统代表一类资源调度控制器。例如内存子系统可以限制内存的使用量,CPU 子系统可以限制 CPU 的使用时间。
控制组(cgroup)表示一组进程和一组带有参数的子系统的关联关系。例如,一个进程使用了 CPU 子系统来限制 CPU 的使用时间,则这个进程和 CPU 子系统的关联关系称为控制组。
层级树(hierarchy)是由一系列的控制组按照树状结构排列组成的。这种排列方式可以使得控制组拥有父子关系,子控制组默认拥有父控制组的属性,也就是子控制组会继承于父控制组。比如,系统中定义了一个控制组 c1,限制了 CPU 可以使用 1 核,然后另外一个控制组 c2 想实现既限制 CPU 使用 1 核,同时限制内存使用 2G,那么 c2 就可以直接继承 c1,无须重复定义 CPU 限制。

cgroups的子系统

可以通过命令sudo mount -t cgroup查看cgroup挂载信息

cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,cpuset)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,net_prio,net_cls)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,perf_event)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,memory)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,devices)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,blkio)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,cpuacct,cpu)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,pids)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,freezer)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,seclabel,hugetlb)

可以看到cgroup挂载了很多子系统,包括cpu、内存等

1. CPU子系统

cpu子系统的创建只需在/sys/fs/cgroup/cpu/下创建新文件夹即可

如以下命令

mkdir /sys/fs/cgroup/cpu/mydocker

使用命令ls -l /sys/fs/cgroup/cpu/mydocker查看创建文件夹后的文件夹内容

-rw-r--r--. 1 root root 0 Dec 11 10:53 cgroup.clone_children
--w--w--w-. 1 root root 0 Dec 11 10:53 cgroup.event_control
-rw-r--r--. 1 root root 0 Dec 11 10:53 cgroup.procs
-r--r--r--. 1 root root 0 Dec 11 10:53 cpuacct.stat
-rw-r--r--. 1 root root 0 Dec 11 10:53 cpuacct.usage
-r--r--r--. 1 root root 0 Dec 11 10:53 cpuacct.usage_percpu
-rw-r--r--. 1 root root 0 Dec 11 10:53 cpu.cfs_period_us
-rw-r--r--. 1 root root 0 Dec 11 11:03 cpu.cfs_quota_us
-rw-r--r--. 1 root root 0 Dec 11 10:53 cpu.rt_period_us
-rw-r--r--. 1 root root 0 Dec 11 10:53 cpu.rt_runtime_us
-rw-r--r--. 1 root root 0 Dec 11 10:53 cpu.shares
-r--r--r--. 1 root root 0 Dec 11 10:53 cpu.stat
-rw-r--r--. 1 root root 0 Dec 11 10:53 notify_on_release
-rw-r--r--. 1 root root 0 Dec 11 10:58 tasks

cgroup自动创建了很多关联文件,其中cpu.cfs_quota_us标识某一个阶段限制的CPU时间总量,单位为微秒。我们想限制某个进程最多使用 1 核 CPU,就在这个文件里写入 100000(100000 代表限制 1 个核) ,tasks 文件中写入进程的 ID 即可(如果要限制多个进程 ID,在 tasks 文件中用换行符分隔即可)。

2. Memroy子系统

与上面一样,使用命令mkdir /sys/fs/cgroup/memory/mydocker即可创建Memroy的子系统

其中 memory.limit_in_bytes 文件代表内存使用总量,单位为 byte。
例如,这里对内存使用限制为 1G,则向 memory.limit_in_bytes 文件写入 1073741824

cd /sys/fs/cgroup/memory/mydocker
echo $$ > tasks

删除cgroups

上面创建的子系统不需要后,可以直接删除创建的文件夹即可

如:

rmdir /sys/fs/cgroup/cpu/mydocker

Docker使用cgroups

先创建一个限制为1Gb的Nginx容器

docker run -d -m=1g nginx

然后使用命令ls -l /sys/fs/cgroup/memory查看cgroups的内存子系统的目录

[root@centeros home]# ls -l /sys/fs/cgroup/memory
total 0
-rw-r--r--.  1 root root 0 Nov 30 11:07 cgroup.clone_children
--w--w--w-.  1 root root 0 Nov 30 11:07 cgroup.event_control
-rw-r--r--.  1 root root 0 Nov 30 11:07 cgroup.procs
-r--r--r--.  1 root root 0 Nov 30 11:07 cgroup.sane_behavior
drwxr-xr-x.  4 root root 0 Dec 11 11:19 docker

可以看到有docker目录,进入目录

[root@centeros memory]# cd docker/
[root@centeros docker]# ls
3c65b074d1626159abba5c2096b992bbda2dd235f5357a51ebecea855e366273  memory.force_empty              memory.kmem.tcp.limit_in_bytes      memory.memsw.failcnt             memory.oom_control          memory.use_hierarchy
7d8786780f1cba1ec40a452e103c5ca11c3826203452aefbc9f8d08306ada012

有刚刚创建的容器ID,进入,查看一下该容器的memroy.limit_in_bytes文件内容

[root@centeros 3c65b074d1626159abba5c2096b992bbda2dd235f5357a51ebecea855e366273]# cat memory.limit_in_bytes 
1073741824

正好是1Gb

云程序员
关注
专栏目录
容器资源可视化隔离的实现方法
HULK一线技术杂谈
01-21 552
女主宣言通常有一些业务已经习惯了在传统的物理机/虚拟机上使用top,free等命令来查看系统的资源使用情况,而在容器中使用这些命令看到的仍然是物理机/虚拟机上的数据。本文针对该问题,介绍...
同一个容器实例可以同时运行在多个宿主机_从零开始K8s: 3.什么是容器
weixin_35189483的博客
12-27 942
Kubernetes使用Linux容器技术来实现应用的隔离。因此在深入习k8s之前,我们需要先容器的基础知识以便更好地去理解k8s的原理机制。揭开容器的神秘面纱当一个应用只由较少数量的大组件构成时,完全可以给每个组件分配一个专用的虚拟机,以及通过给每个组件分配它自己的操作系统实例来隔离它们的环境。但是当这些组件变得越来越小且数量变得越来越多时,就不能给每个组件分配专用的VM,除非你不想节约硬...
Docker 容器资源隔离 namespace(十)
weixin_34129696的博客
11-07 411
一、简介 Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的 Unix 有一个叫 chroot 的系统调用(通过修改根目录把用户 jail 到一个特定目录下),chroot 提供了一种简单的隔离模式:chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供...
容器云系列之Docker容器资源隔离
牧羊人的方向
11-13 3034
本文简要介绍了Docker容器对CPU、内存和IO等系统资源限制
容器技术与资源隔离
a867901084的博客
08-04 510
简单的讲就是,Linux namespace 允许用户在独立进程之间隔离 CPU 等资源。进程的访问权限及可见性仅限于其所在的 Namespaces 。因此,用户无需担心在一个 Namespace 内运行的进程与在另一个 Namespace 内运行的进程冲突。甚至可以同一台机器上的不同容器中运行具有相同 PID 的进程。同样的,两个不同容器中的应用程序可以使用相同的端口。 与...
Docker容器的本质,如何实现的 资源隔离资源限制
H_sen's Blog
04-04 5204
docker 容器本质: 容器其实就是Linux下一个特殊的进程; Docker容器通过namespace实现进程隔离通过cgroups实现资源限制; Docker镜像(rootfs)是一个操作系统的所有文件和目录而不包括内核,Docker镜像是共享宿主机的内核的; Docker镜像是以只读方式挂载,所有的增删改都只会作用在容器层, 但是相同的文件会覆盖掉下一层,这种方式也被称为"...
PostgreSQL 9 从零开始.pdf
05-23
**PostgreSQL 9 从零开始:** PostgreSQL,简称PG,是一种强大的开源关系数据库管理系统,具有高度的稳定性和可扩展性。本教程“PostgreSQL 9 从零开始”旨在帮助初者理解并掌握这个系统的核心概念和操作。...
【云原生 从零开始Kubernetes】七、资源清单与Namespace_managedfields
2401_84182842的博客
05-06 751
用 Annotation 来记录的信息包括: build 信息、release 信息、Docker 镜像信息等,例如时间戳、release id 号、镜像 hash 值、docker registry 地址等;#labels 是标签,labels 是 map 类型,map 类型表示对应的值是 key-value 键值对表示 key 和 value 都是 String 类型的。#进入到刚才创建的 pod,刚才创建的 pod 名字是 web。name #创建的资源的名字。
mysql 从零开始PPT
04-02
【MySQL基础概念】 MySQL是一种关系型数据库管理...本套“MySQL从零开始PPT”涵盖了上述所有知识点,旨在为初者提供一个全面的习路径,逐步深入理解MySQL的各个方面,为实际的数据库管理和开发打下坚实基础。
容器资源隔离原理
最新发布
qq_43022896的博客
06-16 730
然而很明显,为了能够让容器不占用其它容器资源(或者说确定每个容器的”硬件“配置),我们得需要其它的策略来达到这一目的,而这,就是 Cgroups。同一个 namespace 下的资源变化对于同一 namespace 的进程是可见的,但是对于不同namespace下的进程是不可见的。cgroups 的全称是control groups,是Linux内核提供的一种可以限制单个进程或者多个进程所使用资源的机制,可以对 cpu,内存等资源实现精细化的控制。命令中也有单独的参数进行配置。
Docker容器的网络管理和网络隔离的实现
01-09
一、Docker网络的管理 1、Docker容器的方式 1)Docker访问外网 Docker容器连接到宿主机的Docker0网桥访问外网;默认自动将docker0网桥添加到docker容器中。 2)容器容器之间通信 需要管理员创建网桥;将不同的容器连接到网桥上实现容器容器之间相互访问。 3)外部网络访问容器 通过端口映射或者同步docker宿主机网络配置实现通信。 2、Docker容器网络通信的模式 1)bridge 默认容器访问外网通信使用;依赖docker0网桥。 2)none 需要给容器创建独立的网络命名空间;不会给创建的容器配置TCP/IP信息。 3)container
容器实现资源隔离的原理
jlgkeep的博客
10-19 343
docker
docker容器监控系列(二)之docker资源隔离资源限制原理分析
urmsone
03-08 1529
docker资源隔离资源限制原理分析 一、概述 docker通过namespace实现了资源隔离,通过cgroup实现了资源限制,通过写时复制实现了高效的文件操作。本文主要介绍namespace、cgroup以及docker run命令资源分配的相关参数 二、 namespace资源隔离 下面列出8个namespace和用来构建docker的特性 MNT:文件系统访问和结构(挂载点) chr...
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具,优缺点,核心技术
weixin_45697293的博客
04-26 677
文章目录什么是容器Docker 简介Docker 的组成Docker 对比虚拟机Linux Namespace 技术1. MNT Namespace2. IPC Namespace3. UTS Namespace4. PID Namespace5. Net Namespace:6. User NamespaceLinux control groups容器管理工具1. lxcdocker3. pouch:Docker 的优缺点docker(容器)的核心技术docker(容器)的依赖技术安装Docker 什么是
容器到底隔离了什么?
Jerry00713的博客
02-28 471
一、容器的本质是一个进程 一个容器就如同你之前跑到一个虚拟机中的一个应用程序,比如跑一个Java程序。那么在容器中,主进程就是跑着你Java程序的这个Java进程,其他的进程都是围绕着这个主进程的,如果主进程失败了,那么这个容器就是失败的。 二、容器隔离了以下资源 mnt: 存储 net : 网络 pid : 进程 user:用户 uts :主机名、域名等 ipc :进程间的通信 cgroups:隔离资源,如CPU、Memory 如果对这些特性感觉有些陌生,这很正常,我们可以通过创建一个容器,然后登
docker中的资源隔离容器镜像详解
随风直到夜郎西
03-02 304
namespace做资源隔离 在docker中使用的: mount 保证容器看到的文件系统视图是文件镜像提供的 uts 隔离了hostname和domain name pid 保证容器进程是一号进程 network 网络,除了容器用host这种网络模式,其他所有的网络有自己的网络文件 user 用户uid 和gid 容器内部和系统的映射 ipc 进程间通信 cgroup 容器中创建namespac...
linux 父子进程 资源_从零开始K8S(二):进程隔离让docker看起来像虚拟化
weixin_39792747的博客
12-08 253
各位小伙伴大家好,我是运维虫子!上一篇,我们一起习了docker的起源以及docker的简单运用,今天我们来从软件层面来了解一下docker的具体工作原理。Linux进程进程是在 CPU 及内存中运行的程序代码,而每个进程可以创建一个或多个进程(父子进程)。通常通过ps -ef来查看namespace(隔离内核资源)我们先来创建一个容器docker pull centosdocker run -...
白话 Linux 容器资源隔离限制原理
weixin_44433834的博客
11-23 1262
作者:烧鸡太子爷 来源:恒生LIGHT云社区 背景 最近在给组内新人讲解一些docker容器化,大家都能够理解,docker容器实际上就是运行的一个进程,只不过由于docker帮助我们包装了这个进程,给这个进程加以一个可运行的微linux环境而已,让我们感觉看起来"像"虚拟机而已。那么他是如何做到资源控制的呢,大家也都知道是用了namespace、cgroup。个人也比较好奇,所以也花了一点时间去习了一下,也做一些笔记,可以和大家一起习一下 Linux namespace Linux namespa.
Docker 资源隔离
托瓦斯克一
01-15 676
技术实现 Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。 Namespace 是 Linux 内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。Namespace 的工作方式通过为一组资源和进程设置相同的 Namespace 而起作用,但是这些 Namespace 引用了不同的资源资源可能存在于多个 Namespace 中。这些资源可以是进程 ID、主机名、用户 ID、文件名、与网络访问相关的名称和进程间通信。 Nam
Docker入门:从零开始探索容器技术
2. **容器(Container)**:镜像的实例就是容器,它们是轻量级的执行环境,可以在同一主机上并行运行多个容器,每个容器都拥有自己的文件系统,并与其他容器隔离容器的生命周期可以被管理,包括启动、停止和删除等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值