cgroup-net_cls子系统分析

于 2018-07-11 15:38:12 发布 4580 收藏 1
分类专栏: docker kernel cgroup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanzhe2017/article/details/81001621
版权
docker 同时被 3 个专栏收录
26 篇文章 5 订阅
订阅专栏
kernel
28 篇文章 2 订阅
订阅专栏
cgroup
7 篇文章 2 订阅
订阅专栏

1       Net_cls

1.1      原理

net_cls子系统是用来控制进程使用网络资源的,它并不直接控制网络读写,而是给网络包打上一个标记,具体的网络包控制由tc机制来处理。

net_cls实现的基本的思想就是将控制组和内核现有的网络包分类和调度的机制相关联。net_cls通过给控制组分配一个类标识符(classid)来指定该控制组的数据包将被分到哪个traffic class(net_cls只支持可分类的qdsic队列规则)。数据包在发送的时候会根据添加到设备qdisc上的cgroup filter将数据包分到与其classid相符的traffic class队列中,再由设备上设置的具体qdsic来控制数据包的发送,以达到控制网络资源使用的目的。

创建一个挂有net_cls的cgroup后,在其下会生有个名为net_cls.classid(默认初始值为0)的文件,通过这个文件指定该组进程相关的数据包进入哪个traffic class。通过向文件写入形如0xAAAABBBB的十六进制值(AAAA为主处理号,BBBB为次处理号,读取该值是以十进制显示),设置cgroup的classid后,再进行相应的tc配置,添加符合classid的traffic class,并使用cgroup filter。这样当cgroup中的进程需要使用网络接口发送数据包的时候,则会按照接口上classid相应的tc策略控制进程对网络资源的使用。

 

整体形式如下:

 

1.2      实现

net_cls中对应的核心数据结构为

structcgroup_cls_state{

       struct cgroup_subsys_state css;   //对应cgroup子系统状态描述符css

       u32 classid;   //用用于记录该cgroup的classid

};

cgroup_cls_state记录了该组设置的classid,对net_cls.classid读写时操作的就是这个值。在发送数据包过程中,内核会将进程所在的cgroup的classid存储在skb->sk->sk_classid中。

为了能和tc机制结合,net_cls模块添加了一个名为cgroup的filter,其相应的操作函数结构如下:

staticstruct tcf_proto_ops cls_cgroup_ops __read_mostly = {

       .kind             =     "cgroup",     //filter名称

       .init        =     cls_cgroup_init,   //初始化filter的id、root等相关信息

       .change         =     cls_cgroup_change,  //修改filter参数

       .classify =     cls_cgroup_classify,  //对数据包进行分类

       .destroy =     cls_cgroup_destroy,  //释放filter的root数据

       .get        =     cls_cgroup_get,   //获取引用

       .put        =     cls_cgroup_put,  //减少引用

       .delete          =     cls_cgroup_delete, //删除

       .walk            =     cls_cgroup_walk, //遍历filter参数

       .dump           =     cls_cgroup_dump, //用于输出信息

       .owner          =     THIS_MODULE,  //模块指针

};

其中定义了cgroup filter的相关的操作。在初始化net_cls模块时会注册cgroup filter,内核将其加入全局变量tcf_proto_base链表中:

register_tcf_proto_ops(&cls_cgroup_ops)。

tc命令是通过netlink与内核进行通信的,当使用tc filter add命令设置cgroup filter时,内核会调用已经注册的tc_ctl_tfilter函数进行处理。

static int __init tc_filter_init(void)

{

       rtnl_register(PF_UNSPEC,RTM_NEWTFILTER, tc_ctl_tfilter, NULL, NULL);

       rtnl_register(PF_UNSPEC,RTM_DELTFILTER, tc_ctl_tfilter, NULL, NULL);

       rtnl_register(PF_UNSPEC,RTM_GETTFILTER, tc_ctl_tfilter,

                    tc_dump_tfilter, NULL);

       return0;

}

tc_ctl_tfilter函数中遍历tcf_proto_base链表,根据tc命令中指定的cgroup过滤器,找到kind为cgroup的filter操做函数结构,并将其加入指定设备使用的qdsic的分类规则链表中。当发送一个数据的时候,在设备发送函数dev_queue_xmit中会根据设备上设置的qdisc,对数据包进行分类排队。分类时内核会遍历qdsic的分类规则链表,并调用相应的分类函数对数据包进行分类,这样之前添加的cgroup filter的分类函数就会被调用了。cgroup filter分类关键就是获取设置的classid,将该classid返回给qdisc进行数据包分类排队:

cgroupfilter先获取当前进程所在cgroup的classid:

rcu_read_lock();

       classid =task_cls_state(current)->classid;

       rcu_read_unlock();

如果是在软中断上下文中,为了确保结果的正确性,则直接获取存储在唉skb->sk中的classid:

if(in_serving_softirq()) {

              /* If there is an sk_classid we'lluse that. */

              if (!skb->sk)

                     return -1;

              classid =skb->sk->sk_classid;

       }

最终将结果保存,由cgroup filter绑定的qdisc根据获得的classid将数据包入队,进行具体的流量控制:

res->classid= classid;

res->class= 0;

1.3      使用 

使用net_cls子系统控制网络资源的使用,主要有以下三步:

1.   创建绑定net_cls的cgroup

2.   设置该cgroup的classid

3.   配置符合classid的tc策略配置(与tc流量控制紧密相关,可参考tc相关知识:http://www.netren.org/index.php/linux-tc.html)

例子:

1.创建net_cls子系统cgroup:

#mkdir /cgroup/net_cls

#mount –t cgroup –o net_cls net_cls/cgroup/net_cls

#mkdir /cgroup/net_cls/test

2.给cgroup test设置classid(1:1)

#echo 0x100001 >/cgroup/net_cls/cgroupa/net_cls.classid

#cat/cgroup/net_cls/cgroupa/net_cls.classid

65537

3.配置tc

#在设备eth0上创建添加队列规则qdisc,此处为htb流量控制

#tc qdisc add dev eth0 root handle 1:htb

# tc -s qdisc show dev eth0

qdischtb 1: root refcnt 2 r2q 10 default 0 direct_packets_stat 245

Sent27514 bytes 245 pkt (dropped 0, overlimits 0 requeues 0)

backlog0b 0p requeues 0

#在qdisc下建立一个类class,classid为1:1,与写入cgroup中的相对应

#tc class add dev eth0 parent 1:classid 1:1 htb rate 40mbit

# tc -s class  show dev eth0

classhtb 1:1 root prio 0 rate 40000Kbit ceil 40000Kbit burst 1600b cburst 1600b

Sent0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)

rate0bit 0pps backlog 0b 0p requeues 0

lended:0 borrowed: 0 giants: 0

tokens:5000 ctokens: 5000

#添加cgroup过滤器

#tc filter add dev eth0 parent 1:protocol ip prio 10 handle 1: cgroup

# tc -s filter show dev eth0

filterparent 1: protocol ip pref 10 cgroup handle 0x1

 

看看限制的效果:

# time scp iperf-2.0.4.tar.gz  128.5.130.21:/home/w00227741/

real 0m1.894s

user 0m0.020s

sys  0m0.004s

# time  cgexec -g net_cls:test scp iperf-2.0.4.tar.gz 128.5.130.21:/home/w00227741/  

real 0m2.429s

user 0m0.020s

sys  0m0.004s

#将可用带宽有4mbit改为1mbit

# tc class change dev br0 parent 10:classid 1:1 htb rate 1mbit

# time  cgexec -g net_cls:test scp iperf-2.0.4.tar.gz 128.5.130.21:/home/w00227741/

real 0m4.220s

user 0m0.020s

sys  0m0.000s

可见后两种情况比第一种要来的慢,且分配的带宽越少越慢。


马学
关注
  • 0
    点赞
  • 1
    收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
【CGroup原理篇V1】十三、NET_CLS系统
从0到1,突破自己
04-07 549
Network Classifier CGroup提供了一个接口通过使用classid(class identifier)去对网络包进行标签化。 Traffic Controller(tc)控制器被用来向不同的控制组分配不同的苏醒。Netfilter(数据包过滤机制或防火墙机制,如iptables)可以使用这个标签来在具体的数据包上执行一些列的操作。
node-cgroup-metrics:NodeJs模块,用于从容器内部读取cgroup指标
05-17
CGROUP-METRICS 用于读取指标的节点模块。 从/sys/fs/cgroup/读取。 内存指标: 从路径/sys/fs/cgroup/memory/memory读取: 原始值: stat.rss :匿名和交换高速缓存内存的字节数 kmem.usage_in_bytes :当前内核内存分配 limit_in_bytes :内存使用限制 计算值: containerUsage() : stats.rss + kmem.usage_in_bytes containerUsagePercentage() : stats.rss + kmem.usage_in_bytes / limit_in_bytes CPU指标: 原始CPU值: 从路径/sys/fs/cgroup/读取: cpuacct.usage :自此cgroup获得的容器开始以来的总CPU时间(以纳秒为单位)(
cgroup原理和实现
01-17
cgroup原理和实现,Cgroups 是 control groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups)所使用的物理资源(如:cpu,memory,IO 等等)的机制。最初由 google 的 工程师提出,后来被整合进 Linux 内核。Cgroups 也是 LXC 为实现虚拟化所使用的资源管理 手段,可以说没有 cgroups 就没有 LXC。 该文档详细讲解了cgroup的原理和实现
漫谈cgroup
最新发布
linus.lin的博客
01-28 651
cgroup 是linux内核的一个功能,用来限制、控制与分离一个进程组的资源(如CPU、内存、磁盘I/O等)。它是由 Google 的两位工程师进行开发的,自 2008 年 1 月正式发布的 Linux 内核 v2.6.24 开始提供此能力。cgroup 到目前为止,有两个大版本, cgroup v1 和 v2。以下内容以 cgroup v2 版本为主,涉及两个版本差别的地方会在下文详细介绍。CPU内存网络磁盘 I/O。
cgroup限制oracle,使用cgroup和tc限制带宽
weixin_33699211的博客
04-15 184
cgroup系统net_cls 可以给 packet 打上 classid 的标签,用于过滤分类,这个classid就是用于标记skb所属的 qdisc class 的。有了这个标签,流量控制器(tc)可以对不同的 cgroup 的 packet 起作用,Netfilter(iptables)也可以基于这个标签有对应的动作。创建一个 net_cls cgroup 对应的是创建一个 net_cls...
Linux资源管理之cgroups简介
美团技术团队
03-31 648
###引 cgroups 是Linux内核提供的一种可以限制单个进程或者多个进程所使用资源的机制,可以对 cpu,内存等资源实现精细化的控制,目前越来越火的轻量级容器 Docker 就使用了 cgroups 提供的资源限制能力来完成cpu,内存等部分的资源控制。 另外,开发者也可以使用 cgroups 提供的精细化控制能力,限制某一个或者某一组进程的资源使用。比如在一个既部署了前...
CGroup操作
程序员的世界
06-26 682
一、cgroup简介 1.1、cgroup系统 cgroup支持多种维度的限制,具体如下: 系统 说明 blkio 这​​​个​​​​​​系​​​统​​​为​​​块​​​设​​​备​​​设​​​定​​​输​​​入​​​/输​​​出​​​限​​​制​​​,比​​​如​​​物​​​理​​​设​​​备​​​(磁​​​盘​​​,固​​​态​​​硬​​​盘​​​,USB 等​​​等​​​) cpu 这​​​个​​​​​​系​​​统​​​使​​​用​​​调​​​度​​​程​​​序
cgroups 介绍
Coding家园!
03-08 2315
cgroups 详解: http://files.cnblogs.com/files/lisperl/cgroups%E4%BB%8B%E7%BB%8D.pdf https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Resource_Management_Guide/ch01.ht
Docker容器与容器云学习笔记——cgroup
pigff的博客
04-09 612
cgroups(control groups)资源控制组,它不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使用量、操控任务(进程或线程)启停等。一般来说,cgroup(单数形式)用于指定整个功能,当需要明确表示多个资源控制组的时候,用cgruops(复数形式)。 以下根据Docker容器与容器与描述统一使用cgroups 1. cgroups是什么 官方定义如下:内...
Documentation_cgroups_net_cls
u012036443的专栏
11-04 1422
Chinese translated version of Documentation/pcmcia/devicetable If you have any comment or update to the content, please contact the original document maintainer directly.  However, if you ha
Documentation/cgroups/net_cls
u012036443的专栏
10-29 1867
Chinese translated version of Documentation/cgroups/net_cls If you have any comment or update to the content, please contact the original document maintainer directly.  However, if you have a proble
cgroup使用举例和linux内核源码详解
dongzhiyan_hjp
07-11 1674
cgroup的原理其实并不复杂,用法也比较简单。但是涉及的内核数据结构真的复杂,错综复杂的数据结构感觉才是cgroup真正的难点。本文结合个人学习cgroup源码的心得,尽可能以举例的形式,总结cgroup整体框架和核心源码实现,尽可能少贴源码。本次是在centos 7.6测试的cgroup,源码注释基于3.10.96。 这里先把cgroup涉及的各个数据结构的关系图发下,后边需要多次用到这幅图。 转存失败重新上传取消转存失败重新上传取消转存失败重新上传取消转存失败重新上传取消转存...
CGroup 介绍、应用实例及原理描述
diaotuhui6321的博客
07-01 740
CGroup 介绍CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups) 所使用的物力资源 (如 cpu memory i/o 等等) 的机制。2007 年进入 Linux 2.6.24 内核,CGroups 不是全新创造的,它将进程管理从 cpuset 中剥离出来,作者是 Google 的 Pa...
Openstack中的网络QoS功能
热门推荐
Liping Mao's Blog
11-11 1万+
本文简单分析了目前openstack Grizzly版本中网络qos的实现。
Control Groups (Cgroups)-详解
taoxicun的博客
10-11 277
提供了一个新的内核特性:(Cgroups),它为内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO等等)的机制。包括如下系统:blkio--这个系统为块设备设定输入/输出限制,比如物理设备(磁盘,固态硬盘,USB 等等)。cpu--这个系统使用调度程序提供对 CPU 的 cgroup 任务访问。cpuacct--这个系统自动生成 cgroup 中任务所使用的 CPU 报告。
Cgroup 基础设置
Topurce的专栏
02-27 3439
1. 安装libcgroup 执行下面命令安装libcgroup:     # yum list libcgroup 2. Cgroup配置文件挂载点目录   配置文件: /etc/cgconfig.conf   挂载点根目录: /cgroup   缺省系统名称及挂载点(通过配置文件可以查看):         cpuset  = /cgroup/cpuset;
Cgroup概述
GaoChuang_的博客
12-04 1万+
一、Cgroup的目的 Cgroup和namespa类似,也是将进程进程分组,但是目的与namespace不一样,namespace是为了隔离进程组之前的资源,而Cgroup是为了对一组进程进行统一的资源监控和限制。 二、为什么需要Cgroup 在Linux里,对进程进程分组,比如Session group、process group等,后来需要追踪一组进程的内存和IO使用情况,出现了cgroup,用来统一对进程进行分组,并在分组的基础上对进程进程监控和资源控制管理等。 三、...
linux centos7 cgroup 命令行操作
hobertony_7的专栏
11-22 1万+
1, lssubsys -am 查看系统中已经存在的参cgroup系统以及系统的挂载点:          cpuset /sys/fs/cgroup/cpuset cpu,cpuacct /sys/fs/cgroup/cpu,cpuacct memory /sys/fs/cgroup/memory devices /sys/fs/cgroup/devices freezer /
how to use cgroup
killmice的专栏
09-10 826
TechRest CategoriesArchiveTagsAboutPages how to use cgroup Cgroup 用法 13 January 2014 介绍docker的的过程中,提到lxc利用cgroup来提供资源的限额和控制,本文主要介绍cgroup的用法和操作命令,主要内容来自 [1]https://access.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

马学

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值