通过lxcfs文件系统让pod正确识别到分配的资源

最新推荐文章于 2024-04-10 09:36:45 发布
最新推荐文章于 2024-04-10 09:36:45 发布
阅读量612 收藏 1
点赞数
分类专栏: 技术文档 文章标签: kubernetes docker lxcfs k8s 容器
原文链接:https://zhuanlan.zhihu.com/p/101059102
版权

在使用docker的时候,为了限制某个容器使用的资源,常常使用cgroup的资源限制来限制容器最大能使用的CPU和内存资源等。对于一些app,它往往会自动检测当前环境的最大资源数量,然后根据这个数据来合理分配资源。问题就出在这上面,当给容器限制之后,它在容器内能检测到的依然是host相关的资源信息。例如host有16G内存,限制一个容器最多使用2G,在容器里面通过/proc/meminfo看依然是16G内存。这就导致往往app会分配超过2G的内存从而被cgroup杀掉。 LXCFS的出现就是为了解决这个问题,让容器正确的意识到自己被限制的资源。

LXCFS文件系统

lxcfs是一个小型的fuse文件系统(https://github.com/lxc/lxcfs),专门为了处理容器对以下文件路径的请求。

/proc/cpuinfo
/proc/diskstats
/proc/meminfo
/proc/stat
/proc/swaps
/proc/uptime
/sys/devices/system/cpu/online

当容器启动时,/proc/xxx会被挂载成host上lxcfs的目录。app读取/proc/meminfo的信息时,请求就会被导向lxcfs,而lxcfs就会通过cgroup的信息来返回正确的值给容器内的app。整个流程如下图:

在kubernetes中也有同样的问题

同样,kubernetes就算使用了limit限制资源的使用,pod依然不能正确的拿到资源限制信息。例如使用下面的yaml来创建一个pod

apiVersion: v1
kind: Pod
metadata:
  name: ubuntu
  labels:
    name: ubuntu
spec:
  containers:
  - name: ubuntu
    image: ubuntu:18.04
    command: [ "/bin/bash", "-c", "--" ]
    args: [ "while true; do sleep 30; done;" ]
    resources:
      limits:
        memory: "200Mi"
      requests:
        memory: "100Mi"

登录到pod之后查看meminfo的信息,可以看到拿到的还是host的信息

[root@k8s-master]# kubectl exec -it ubuntu /bin/bash
root@ubuntu:/# free -m
              total        used        free      shared  buff/cache   available
Mem:          16046        1623        9958         202        4464       13890
Swap:             0           0           0

在kubernetes中安装lxcfs组件

阿里云提供了kubernetes的解决方案,能够通过yaml自动化安装和启用lxcfs。

国外仓库:https://github.com/denverdino/lxcfs-admission-webhook

国内镜像:mirrors_denverdino/lxcfs-admission-webhook

部署:

[root@k8s-master]# git clone https://gitee.com/mirrors_denverdino/lxcfs-admission-webhook
[root@k8s-master lxcfs-admission-webhook]# kubectl apply -f deployment/lxcfs-daemonset.yaml
[root@k8s-master lxcfs-admission-webhook]# deployment/install.sh

然后就能看到在每个节点都会有一个lxcfs的pod,以及一个lxcfs-admission-webhook的pod。后面这个pod就是在kubernetes中通过监听事件来正确处理pod的lxcfs挂载的控制进程。

[root@k8s-master]# kubectl get pods
NAME                                                  READY   STATUS    RESTARTS   AGE
lxcfs-2b28f                                           1/1     Running   0          28h
lxcfs-admission-webhook-deployment-6fbb88b975-xbxdz   1/1     Running   0          27h
lxcfs-h5pnx                                           1/1     Running   0          28h

如果有lxcfs的pod无法启动,会报如下错误:

[root@k8s-master]# kubectl get pod
NAME                                                 READY   STATUS             RESTARTS   AGE
lxcfs-admission-webhook-deployment-845cdc8c6-54r92   1/1     Running            0          6m36s
lxcfs-rnbwn                                          1/1     Running            6          6m43s
lxcfs-t9qwp                                          0/1     CrashLoopBackOff   6          6m43s

[root@k8s-master deployment]#  kubectl logs lxcfs-t9qwp -f
/usr/local/bin/lxcfs: error while loading shared libraries: libfuse.so.2: cannot open shared object file: No such file or directory

说明node节点没有libfuse.so.2动态库文件,需要在node节点安装fuse组件:

[root@k8s-node03 ~]# yum install fuse fuse-devel fuse-lib -y

在kubernetes环境中验证lxcfs

在安装完之后,还需要针对你想要开启lxcfs的namespace去开启这个机制,用如下命令:

[root@k8s-master]# kubectl label namespace default lxcfs-admission-webhook=enabled

部署一个测试模板pod,测试拿meminfo的信息

[root@k8s-master lxcfs-admission-webhook]# kubectl apply -f deployment/web.yaml

[root@k8s-master]# kubectl get pod
NAME                                                 READY   STATUS    RESTARTS   AGE
lxcfs-admission-webhook-deployment-f4bdd6f66-5wrlg   1/1     Running   0          8m29s
lxcfs-pqs2d                                          1/1     Running   0          55m
lxcfs-zfh99                                          1/1     Running   0          55m
web-7c5464f6b9-6zxdf                                 1/1     Running   0          8m10s
web-7c5464f6b9-nktff                                 1/1     Running   0          8m10s
[root@k8s-master]# kubectl exec -ti web-7c5464f6b9-6zxdf sh
# free
             total       used       free     shared    buffers     cached
Mem:        262144       2744     259400          0          0        312
-/+ buffers/cache:       2432     259712
Swap:            0          0          0

现在再来用之前的模版创建一个pod,并尝试拿meminfo的信息

[root@k8s-master]# kubectl exec -it ubuntu /bin/bash
root@ubuntu:/# free -m
              total        used        free      shared  buff/cache   available
Mem:            200           3         196           0           0         196
Swap:             0           0           0

这一次可以看到pod内部正确的拿到了自己能使用的内存资源总共200M

删除lxcfs组件包

先删除lxcfs-admission-webhook组件
[root@k8s-master lxcfs-admission-webhook]# deployment/uninstall.sh

再从集群中删除lxcfs组件
[root@k8s-master]# kubectl delete -f deployment/lxcfs-daemonset.yaml

欢迎搜索关注微信公众号【运维散人】

西红柿遇到番茄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lxcfs容器隔离技术实现原理分析之loadavg、cpuonline
HULK一线技术杂谈
11-21 928
女主宣言我们知道runc没有做到完全隔离/proc、/sys路径下的文件,所以容器内通过top、free等命令看到的数据都是物理机上的。利用lxcfs可以实现将容器内/p...
Kubernetes lxcfs
weixin_41020960的博客
04-23 302
容器实现的基础是NameSpace和Cgroups。 NameSpace实现了对容器(进程)的隔离,NameSpace技术实际上修改了应用进程看待整个计算机“视图”,也就是作用域,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容,实现方式类似于将全局变量修改为了局部变量。 Cgroup实现了对容器(进程)资源的限制,但是在容器内部依然缺省挂载了宿主机的procfs的/proc目录,其中包含:meminfo,cpuinfo,stat,uptime等资源信息。一些监控工具如 free/top 会
探秘LXCFS:轻量级容器文件系统魔法
最新发布
gitblog_00005的博客
04-10 236
探秘LXCFS:轻量级容器文件系统魔法 项目地址:https://gitcode.com/lxc/lxcfs 项目简介 LXCFS 是一个开源项目,由Linux容器LXC)团队开发,它提供了一个用户空间的文件系统,使得容器内的应用程序可以像在独立的Linux系统上一样访问文件系统,从而提高了LXC容器的隔离性和用户体验。通过模拟核心操作系统服务,LXCFS让轻量级容器得以享有与完整虚拟机相似的...
PouchContainer 支持 LXCFS 实现高可靠容器隔离
weixin_34192732的博客
04-11 140
引言 PouchContainer 是 Alibaba 开源的一款容器运行时产品,当前最新版本是 0.3.0,代码地址位于:https://github.com/alibaba/pouch。PouchContainer 从设计之初即支持 LXCFS,实现高可靠容器隔离。Linux 使用 cgroup 技术实现资源隔离,然而容器内仍然挂载宿主机的 /pro...
应用LXCFS来解决容器内获取CPU/内存不准的问题
weixin_52990636的博客
12-16 2021
不知道小伙伴们有没有遇到这种情况,你明明启动的是一个4核8G的容器Pod,但是进入容器使用free或top看到的却不是4核8G。比如,云君随手使用docker run命令甩出一个只有256mb的容器,待容器启动之后发现free和top显示的都是宿主机的CPU和内存等信息。这会导致啥后果呢?默认情况下,这会让容器中的应用程序误以为自己可以使用更多的资源(宿主机资源)。
LXCFS简介
WEL测试
08-24 9466
LXCFS简介 社区中常见的做法是利用lxcfs来提供容器中的资源可见性。lxcfs 是一个开源的FUSE(用户态文件系统)实现来支持LXC容器,它也可以支持Docker容器LXCFS通过用户态文件系统,在容器中提供下列procfs的文件。 /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /pr...
kubernetes测试不同名称空间下pod访问情况资源清单文件
10-29
原文链接:https://blog.csdn.net/m0_37814112/article/details/121000935
aad-pod-identity:向Kubernetes应用程序分配Azure Active Directory身份
01-28
在Azure上设置正确的,并通过或安装AAD Pod Identity。 熟悉我们的和。 尝试我们的 ,以更好地了解应用程序工作流程。 行为守则 该项目采用了。 有关更多信息,请参见或与联系,并提出其他任何问题或意见。 支持 ...
POD格式文件查看工具PVRShaman
07-02
你可以在3DMax或者Maya中使用插件(http://download.csdn.net/detail/jimoduwu/5641799)来导出POD格式的模型,但是POD格式的模型不能被导入建模工具中,所以当你拿到一个POD格式的文件时,无法查看它到底是一个什么...
xujiyou#blog-data#通过文件将Pod信息呈现给容器1
07-25
通过文件将Pod信息呈现给容器文档:
pod-template:用于创建Pod文件的ruby脚本
05-16
快速创建发布 Pod 需要的文件的脚本 Features 运行脚本会创建的文件: 文件 说明 README.md 写一个模板,以后填空就好 LICENSE 一般都是 MIT 证书 fastlane/Fastfile 一行命令发布 pod,详情看 xxx.podspec spec ...
docker安全:容器资源控制(cpu,内存,Block IO 限制),利用LXCFS增强docker容器隔离性和资源可见性
ninimino的博客
01-29 578
Docker 安全1.Docker 安全1.1命名空间隔离的安全1.2控制组资源控制的安全1.3内核能力机制1.4Docker服务端防护1.5其他安全特性2.容器资源控制2.1CPU限额2.2内存限制限制使用内存用户级限制使用内存2.3Block IO限制3.docker安全加固安全加固的思路保证容器的安全3.1利用LXCFS增强docker容器隔离性和资源可见性3.2设置特权级运行的容器:--privileged=true3.3设置容器白名单:--cap-adddocker安全的遗留问题 1.Docker
lxcfs容器的内存和CPU资源隔离
weixin_42390300的博客
08-08 336
lxcfs容器的内存和CPU资源隔离
Docker安全加固——利用LXCFS增强docker容器隔离性和资源可见性
even160941的博客
08-11 598
文章目录前言利用LXCFS增强docker容器隔离性和资源可见性设置特权级运行的容器:–privileged=true安全加固的思路保证镜像的安全保证容器的安全docker安全的遗留问题总结 前言 lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstat...
使用 LXCFS 文件系统实现容器资源可见性
愿许浪尽天涯的博客
04-16 2256
Linux 利用 Cgroup 实现了对容器资源的限制,但是当在容器内运行 top 命令时就会发现,它显示的信息是宿主机的 CPU 和 内存数据,而不是当前容器的数据。造成这个问题的原因,就是因为 /proc 文件系统并不了解 Cgroup 限制的存在。
docker desktop ubuntu镜像_基于 Docker 构建 Hadoop 平台
weixin_39774644的博客
11-20 524
基于Docker的Hadoop集群构建0. 绪论使用Docker搭建Hadoop技术平台,包括安装Docker、Java、Scala、Hadoop、 Hbase、Spark。集群共有5台机器,主机名分别为 h01、h02、h03、h04、h05。其中 h01 为 master,其他的为 slave。JDK 1.8Scala 2.11.6Hadoop 3.2.0Hbase 2.1.3Spark 2....
使用LXCFS实现容器资源的视图隔离
360技术
10-09 593
01问题背景大家都知道,当我们使用top等命令的时候,背后的逻辑是读取/proc 目录下相应的资源文件。本篇文章就通过查看使用 top所执行的系统调用,来窥探一二。stracet...
Secret 挂载文件到 pod
05-20
Kubernetes 中,可以使用 `Secret` 对象来存储敏感信息,例如密码、API 密钥等。为了将文件挂载到 Pod 中,可以在 `Secret` 中将文件的内容保存为 base64 编码的字符串,并在 Pod 中将其还原为原始文件。 以下是一个示例 YAML 文件,其中定义了一个 `Secret` 并将其挂载到一个 Pod 中: ```yaml apiVersion: v1 kind: Secret metadata: name: my-secret type: Opaque data: my-file.txt: | c29tZSB0ZXh0Cg== --- apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image volumeMounts: - name: my-volume mountPath: /path/to/my/file volumes: - name: my-volume secret: secretName: my-secret ``` 在这个例子中,`Secret` 名称为 `my-secret`,其中包含了一个名为 `my-file.txt` 的文件。该文件的内容为 `some text\n`,经过 base64 编码后变为 `c29tZSB0ZXh0Cg==`。 接下来,定义了一个名为 `my-pod` 的 Pod,其中包含一个名为 `my-container` 的容器,该容器会挂载一个名为 `my-volume` 的卷,并将其挂载到 `/path/to/my/file` 路径下。最后,在 `my-volume` 中指定了要使用的 `Secret` 名称为 `my-secret`。 当 Pod 启动时,Kubernetes 会将 `my-secret` 中的 `my-file.txt` 文件还原为原始文件,并将其挂载到 `/path/to/my/file` 路径下。这样,容器就可以访问该文件并使用其中的内容了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值