cgroup devices 子系统分析

最新推荐文章于 2024-04-22 22:08:58 发布
最新推荐文章于 2024-04-22 22:08:58 发布
阅读量2.5k 收藏
点赞数
分类专栏: cgroup docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanzhe2017/article/details/81000745
版权

一.     devices子系统总体结构

cgroup devices子系统通过为每个cgroup维护一个设备访问权限链表管理和控制cgroup中进程对设备文件读写访问和设备文件节点创建。

从功能角度分析,devices子系统主要分为三个部分:子系统初始化接口、子系统文件接口和子系统访问控制接口。

子系统初始化接口在cgroup初始化各个子系统时被调用,功能是继承或者创建一个设备访问权限链表,标识cgroup中对各个系统设备访问权限等信息;文件接口的功能是用户进程修改cgroup目录下devices子系统配置文件内容后,更新devices子系统的配置;访问控制接口主要是检查设备的权限,该类接口提供系统访问设备文件或创建设备节点时检查操作的合法性,实现访问控制。

二.     devices子系统初始化接口

devices子系统为每个cgroup维护一个设备访问权限链表管理和控制cgroup中进程对设备文件读写访问和设备文件节点创建,初始化接口在cgroup初始化devices子系统时最重要的工作就是继承或者创建访问权限链表。


2.1  数据结构和接口

devices子系统的核心数据结构是structdev_whitelist_item,具体定义如下。

该数据结构标识一个设备权限的实体,major和minor说明主次设备号,type说明设备类型,而access具体制定了该设备的访问权限。每个设备的权限实体通过list链接成链表。

另一个数据结构是struct dev_cgroup,具体定义如下。

最低0.47元/天 解锁文章
马学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【CGroup原理篇V1】八、Devices系统
从0到1,突破自己
04-08 2352
devices系统可以管控控制组中进程对设备的访问和存取。
cgroup----devices系统
西红柿炒土豆
09-23 1381
devices系统     使用device系统可以允许或者拒绝cgroup中的进程访问设备。devices系统有三个控制文件:devices.allow,devices.deny,devices.list。devices.allow用于指定cgroup中的进程可以访问的设备,devices.deny用于指定cgroup中的进程不能访问的设备,devices.list用于报告cgr
Docker② —— Cgroups详解
最新发布
qq_51148151的博客
04-22 1277
Cgroups详解
cgroup--device测试
XscKernel的专栏 记录工作中做的点滴
09-30 2162
The devices subsystem allows or denies access to devices by tasks in a cgroup. devices.allow    specifies devices to which tasks in a cgroup have access. Each entry has four fields:type,major, min
cgroup系统2_devices系统
奔跑的Linerdx的专栏
08-12 1992
devices系统用于控制cgroup中所有进程可以访问哪些设备,通过维护黑白名单,然后在inode_permission入口点, 通过devcgroup_inode_permission函数检查进程是否可以访问该设备。 参考博客: 1.devices系统
Documentation/cgroups/devices
u012036443的专栏
10-26 1066
Device Whitelist Controller 设备白名单控制器 1. Description: 1.描述: Implement a cgroup to track and enforce open and mknod restrictions on device files.  A device cgroup associates a device access whitel
Linux/Android cgroup架构分析研究总结
02-08
Linux/Android cgroup架构是操作系统中用于管理进程资源限制的关键机制。cgroup,全称为control groups,它允许...对于像小米10这样的手机,分析和比较其cgroup配置可以帮助找出潜在的性能瓶颈,并进行针对性的优化。
hugetlb_cgroup.rar_cgroup hugetlb
09-20
`hugetlb_cgroup.c`很可能包含了cgroups系统与hugetlbfs交互的具体实现,包括分配、释放大页内存的逻辑,以及维护和更新上述描述中的计数器。`hugetlb_cgroup.h`则可能定义了相关的数据结构、函数原型和常量,供...
docker cgroup 资源监控的详解
01-11
docker cgroup 资源监控的详解 ...cpuset: 这个subsystem可以为cgroup中的task分配独立的CPU(此处针对多处理器系统)和内存。 devices 这个subsystem可以开启或关闭cgroup中task对设备的访问。 freezer 这个su
cgroup限制mongodb进程内存大小
09-10
在本场景中,我们使用cgroup来限制MongoDB进程的内存大小,以防止其过度消耗系统资源。 首先,创建一个名为 `test` 的cgroup目录,专门用来管理MongoDB的内存使用: ```bash mkdir /cgroup/memory/test/ ``` 然后,...
Linux Cgroup 技术 与 智能手机系统 IO 优化
09-22
演示了 Docker 虚拟化的基础技术之一:Linux Cgroup 以及 该技术在智能手机 IO 优化方面的潜在应用。 2015/04/26 @ 泰晓沙龙 第二期
Docker基础: Linux内核之Cgroups(1)
知行合一 止于至善
09-19 7885
作为开源Container技术代表的Docker,它跟Linux内核的Namespace和Cgroup两大特性密不可分。物有本末,事有终始。知所先后,则近道矣。理解Linux的这两大特性将有助于我们更深入的理解Docker。 在本文中我们将会简要介绍一下Cgroups是什么。
cgroups分析与应用连载(一)
u014358116的专栏
03-25 2314
欢迎转载,转载请参见文章末尾处要求 Cgroups介绍 linux内核提供了cgroups控制组(control groups)的功能,最初由google的工程师提出,后来被整合进Linux内核。Cgroups也是LXC(Linux Container容器是一种内核虚拟化技术,可以提供轻量级的虚拟化,以便隔离进程和资源,而且不需要提供指令解释机制以及全虚拟化的其他复杂性)为实现虚拟化所使用
Docker资源分配--Cgroup
夏颜的博客
07-23 971
引言目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。
深入理解 Linux Cgroup 系列(一):基本概念
babian8671的博客
07-16 547
原文链接:深入理解 Linux Cgroup 系列(一):基本概念 Cgroup是 Linux kernel 的一项功能:它是在一个系统中运行的层级制进程组,你可对其进行资源分配(如 CPU 时间、系统内存、网络带宽或者这些资源的组合)。通过使用 cgroup,系统管理员在分配、排序、拒绝、管理和监控系统资源等方面,可以进行精细化控制。硬件资源可以在应用程序和用户间智...
基于linux自动创建设备节点而引入的疑问
天才之嵌入式
08-18 2072
1. 自动创建设备节点时mknod做了哪些事情?mknod会在内部自动创建一个inode,代表设备文件节点的物理磁盘属性,该inode存在于devtmpfs或者tmpfs等ramfs文件系统中,inode会记录下建立时传入的设备文件节点char/block等类型以及相应的设备号等信息,通过父目录的ramfs_dir_inode_operations来决定,调用ramfs_mknod生成当前设备节点
linux cgroup、kubernetes limit
qq_35679620的博客
01-11 598
linux cgroup、kubernetes limit Cgroups功能的实现依赖于四个核心概念:系统、控制组、层级树、任务。 kubernets设置limit最终设置在了哪里
一文读懂容器三大核心技术——Namespace,Cgroup和UnionFS
Go中国
03-06 8217
本文字数:8814字精读时间:18分钟也可在 8 分钟内完成速读容器到底是什么?容器是怎么工作的?容器如何隔离资源?为啥容器启动那么快?...如果你是个好奇宝宝,平时在使用容器的时候...
Docker之Cgroup与接口的使用(二)系统详解
辛明辉的专栏
11-06 2257
cpuset系统为一组指定的进程分配指定的cpu和内存节点。在NUMA架构的服务器上,通常将进程与指定的cpu和内存节点绑定来达到,提升性能。(具体是怎么提升的有待学习)。 在这里只介绍主要的2个接口,其余的有时间可以进行深入了解 1. cpuset.cpus:允许进程使用的cpu列表 2. cpuset.mems:允许进行使用的内存节点列表(cpu还是理解的但是内存节点????和内存寻址有
容器的指定cgroup系统
05-12
在Linux中,Cgroups是一种资源隔离的机制,它可以为进程分配特定的系统资源,并限制它们的使用。容器也可以使用Cgroups来限制容器内的进程对系统资源的访问。 在容器中,可以使用`--cgroup-parent`选项来指定Cgroup系统。例如,如果要将容器的CPU使用限制为50%,可以使用以下命令: ``` docker run --cgroup-parent=/myapp -it --cpu-quota=50000 myapp ``` 上述命令将容器放置在`/myapp` Cgroup层次结构中,并将容器的CPU使用限制为50%。在这个例中,`--cpu-quota`选项是用来设置CPU配额的,而`--cgroup-parent`选项用来指定Cgroup系统。 注意,不同的Cgroup系统支持不同的参数和选项。在使用`--cgroup-parent`选项时,需要确保所选的Cgroup系统支持指定的选项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值