一.Cgroup 理论
1.1介绍
CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups) 所使用的物力资源 (如 cpu memory i/o 等等) 的机制。2007 年进入 Linux 2.6.24 内核,CGroups 不是全新创造的,它将进程管理从 cpuset 中剥离出来,作者是 Google 的 Paul Menage。CGroups 也是 LXC 为实现虚拟化所使用的资源管理手段。
2.2功能
cgroups的一个设计目标是为不同的应用情况提供统一的接口,从控制单一进程(像nice)到操作系统层虚拟化(像OpenVZ,Linux-VServer,LXC)。cgroups提供:
- **资源限制:**组可以被设置不超过设定的内存限制;这也包括虚拟内存。
- **优先级:**一些组可能会得到大量的CPU或磁盘IO吞吐量。
- **结算:**用来衡量系统确实把多少资源用到适合的目的上。
- **控制:**冻结组或检查点和重启动。
1.3作用
Cgroups最初的目标是为资源管理提供的一个统一的框架,既整合现有的cpuset等子系统,也为未来开发新的子系统提供接口。现在的cgroups适用于多种应用场景,从单个进程的资源控制,到实现操作系统层次的虚拟化(OS Level Virtualization)。Cgroups提供了以下功能:
1.限制进程组可以使用的资源数量(Resource limiting )。比如:memory子系统可以为进程组设定一个memory使用上限,一旦进程组使用的内存达到限额再申请内存,就会触发OOM(out of memory)。
2.进程组的优先级控制(Prioritization )。比如:可以使用cpu子系统为某个进程组分配特定cpu share。
3.记录进程组使用的资源数量(Accounting )。比如:可以使用cpuacct子系统记录某个进程组使用的cpu时间
4.进程组隔离(Isolation)。比如:使用ns子系统可以使不同的进程组使用不同的namespace,以达到隔离的目的,不同的进程组有各自的进程、网络、文件系统挂载空间。
5.进程组控制(Control)。比如:使用freezer子系统可以将进程组挂起和恢复。
1.4子功能介绍
Docker通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。
Cgroup 子系统:
blkio:设置限制每个块设备的输入输出控制;
cpu:使用调度程序为 cgroup 任务提供 cpu 的访问;
cpuacct:产生 cgroup 任务的 cpu 资源报告;
cpuset:如果是多核心的 cpu,这个子系统会为 cgroup 任务分配单独的 cpu 和内存;
devices:允许或拒绝 cgroup 任务对设备的访问;
freezer:暂停和恢复 cgroup 任务;
memory:设置每个 cgroup 的内存限制以及产生内存资源报告;
net_cls:标记每个网络包以供 cgroup 方便使用;
ns:命名空间子系统;
perf_event:增加了对每个 cgroup 的监