Docker中调用cgroups技术,gvisor中资源限制技术

最新推荐文章于 2024-10-18 14:17:01 发布
最新推荐文章于 2024-10-18 14:17:01 发布
阅读量589 收藏 19
点赞数 20
分类专栏: 网络和Openwrt 网络协议 硬件 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengidea/article/details/142346526
版权

Docker 技术简介

Docker 是一个开源的容器化平台,它允许开发者打包应用及其依赖到一个轻量级、可移植的容器中,然后可以在任何支持 Docker 的机器上运行这个容器。Docker 使用 Linux 容器(LXC)技术,但它提供了比传统 LXC 更简单的操作界面。

Containerd 简介

Containerd 是一个容器运行时,它是 Docker 的核心组件之一,但也可以独立于 Docker 使用。Containerd 负责容器的生命周期管理,包括镜像管理、容器的创建、执行、暂停、停止等。

使用 Cgroups 对资源进行限制

在 Linux 系统中,cgroups(控制组)是一种内核功能,用来限制、记录和隔离进程组所使用的物理资源(如 CPU、内存、磁盘 I/O 等)。Docker 和 Containerd 使用 cgroups 来限制和隔离容器的资源使用。

CPU 资源限制
  • CPU 限制:可以设置容器可以使用的 CPU 核心数或者 CPU 使用的百分比。例如,可以限制一个容器只能使用 50% 的 CPU 资源。
  • CPU 亲和性:可以指定容器运行在特定的 CPU 或核心上。
内存资源限制
  • 内存限制:可以设置容器可以使用的最大内存量。如果容器尝试使用超过这个限制的内存,根据配置,可能会被内核杀死。
  • 内存交换区限制:可以设置容器使用的交换区大小。这可以防止容器使用过多的物理内存。

示例:Docker 使用 cgroups

在 Docker 中,你可以在运行容器时使用 --memory--cpus 参数来限制内存和 CPU 的使用。例如:

docker run -it --memory="1g" --cpus="1.5" ubuntu /bin/bash

这条命令启动了一个 Ubuntu 容器,限制使用最多 1GB 的内存和 1.5 个 CPU 核心。

示例:Containerd 使用 cgroups

在 Containerd 中,资源限制通常在容器的配置文件中指定。例如,使用 Containerd 的 Go 客户端库设置资源限制:

import (
    "github.com/containerd/containerd/containers"
)

// 创建容器时的资源限制配置
resources := &specs.LinuxResources{
    Memory: &specs.LinuxMemory{
        Limit: pointer.Int64Ptr(1024 * 1024 * 1024), // 1GB
    },
    CPU: &specs.LinuxCPU{
        Shares: pointer.Uint64Ptr(1024),
        Quotas: pointer.Int64Ptr(100000),
        Period: pointer.Uint64Ptr(100000),
    },
}

container, err := client.NewContainer(
    ctx,
    "example",
    containerd.WithNewSpec(oci.WithImageConfig(image), withResources(resources)),
)

这段代码设置了容器的内存限制为 1GB,CPU 使用限制为 1 核心。

总之,Docker 和 Containerd 都使用 Linux 的 cgroups 功能来限制和管理容器的资源使用,确保系统资源的合理分配和容器之间的隔离。

gVisor 是一个由 Google 开发的沙箱容器运行时,它提供了一个隔离的环境来运行容器应用。与传统的容器运行时(如 Docker 和 runc)不同,gVisor 提供了一个用户空间内核,用于拦截和处理容器内的系统调用,从而增强了安全性。gVisor 的设计目的是在提供较强隔离的同时,尽量减少对性能的影响。

gVisor 中的资源限制

gVisor 使用了类似于传统 Linux 容器的机制来限制资源,主要依赖于 cgroups 和其他 Linux 内核功能。资源限制的目的是防止一个容器消耗过多的系统资源,从而影响到运行在同一物理或虚拟机上的其他容器或应用。

CPU 和内存限制

gVisor 支持通过 cgroups 对 CPU 和内存等资源进行限制。这些限制可以在启动容器时通过配置文件或命令行参数指定。

  • CPU 限制:可以通过设置 CPU 的使用配额(CFS quota)和周期(CFS period),或者限制 CPU 的核心数(使用 cpuset 子系统)来控制 CPU 使用。
  • 内存限制:可以设置容器可以使用的最大内存量。如果容器的内存使用超过了设定的限制,根据配置,可能会触发 OOM(Out of Memory)处理。
网络和磁盘 I/O

虽然 gVisor 提供了对网络和磁盘 I/O 的基本支持,但它的主要焦点是提高隔离性,因此对这些资源的限制可能不如传统容器运行时那么细致或高效。

  • 网络限制:可以通过 cgroups 的网络子系统来限制网络带宽或包的处理速率。
  • 磁盘 I/O 限制:可以通过 blkio 子系统来限制磁盘 I/O 的速率,包括读写速率的限制。

配置示例

在使用 Docker 运行 gVisor 容器时,可以通过 Docker 的标准资源限制参数来设置这些限制。例如,使用 docker run 命令:

docker run --runtime=runsc --memory="1g" --cpus="1.5" myimage

这里,--runtime=runsc 指定使用 gVisor 的 runsc 运行时。--memory--cpus 参数分别限制内存和 CPU 的使用。

总结

gVisor 通过集成 Linux 的核心功能,如 cgroups,提供了对容器资源的基本限制。虽然 gVisor 的主要优势是提高安全性,但它也支持常见的资源限制配置,帮助管理员控制和管理容器应用的资源使用。这些限制有助于保护宿主机不被单个容器过度使用资源而影响其他进程。

源代码分析
关注
专栏目录
【云原生进阶之容器】第五章容器运行时5.6--容器运行时之gVisor
junbaozi的专栏
04-05 461
gVisor是一款新型容器沙箱解决方案,其能够为容器提供安全的隔离措施,同时继续保持远优于虚拟机的轻量化特性。gVisor能够与Docker及Kubernetes实现集成,从而在生产环境更轻松地建立起沙箱化容器系统。
开源项目-google-gvisor.zip
10-08
开源项目-google-gvisor.zip,google/gvisor: Sandboxed Container Runtime
谷歌新作gVisor:VM容器融合技术已经到来
omnispace的博客
06-06 8615
5 月 2 日,谷歌发布了一款新型的沙箱容器运行时 gVisor,号称能够为容器提供更安全的隔离,同时比 VM 更轻量。容器基于共享内核,安全性是大家关注的一大要点,gVisor 的发布势必将引来更多对容器隔离性的关注。那么 gVisor 在技术上如何实现隔离,其性能如何?隔壁阿里巴巴已经有人为你探索了 gVisor 的架构和组件,并作了性能分析。   背景   gVisor 的开源为安全容器的实...
gVisor:Google开源的新型沙箱容器运行时环境
liukuan73的专栏
08-28 1097
转载自:http://dockone.io/article/5280 容器技术彻底改变了我们对应用程序进行开发、打包与部署的具体方式。然而,系统在与容器对接时仍会暴露出大量攻击面,因此相当一部分安全专家不建议在容器运行不受信任或潜在的恶意应用程序。 随着用户越来越多地希望在容器运行异构及低信任度工作负载,沙箱化容器也就应运而生——此类容器能够在主机操作系统与容器内应用程序之间提供安全的隔...
微虚机之gVisor
专注虚拟化的Linuxer
01-25 3797
gVisor是google最新推出的一种进程级别的沙箱技术,因为跟Kubernets同一出身,所以天然的兼容于Kubernets的调度管理。 沙箱不同于传统的容器以及微虚机,众所周知,容器是通过namespace跟cgroup实现资源隔离,微虚机则通过传统的虚拟化技术(KVM),而gVisor怎是在进程界别实现了系统调用的劫持以及重定向。好处么,很明显,它不需要物理隔离资源的建立这一过程,直接应...
Docker容器与虚拟化技术容器运行时说明与比较
cronaldo91的博客
08-21 649
真正的启动容器是通过 containerd-shim 去调用 runC 来启动容器的,runC 启动完成后会直接退出,containerd-shim 会成为容器进程的父进程,负责收集容器进程的状态,上报给 containerd,并在容器 pid 为 1 的进程退出后接管容器的子进程,确保不会出现僵尸进程。新项目汇集了最好的这两种技术都具有重构虚拟化,容器原生应用程序的共同愿景,为了提供容器的速度,和虚拟机的安全。CRI-O是由红帽发起并开源的一款容器运行时,本身比较新,没有太多的生产实践。
linux(centos)部署docker(步骤超全,含带一些发展史和一些概念)
liu_chen_yang的博客
04-11 4376
Docker 是一个开源的应用容器引擎,基于Go语言 并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口,更重要的是容器性能开销极低。
容器(Container)技术介绍
菜鸟的博客
10-07 4446
参考文献: A Brief History of Containers: From the 1970s Till Now The differences between Docker, containerd, CRI-O and runc 容器(Container)技术简史 1979 年:Unix V7 在 1979 年 Unix V7 的开发过程,引入了 chroot 系统调用 将进程及其子进程的根目录更改为文件系统的新位置。这一进步是进程隔离的开始:为每个进程隔离文件访问 Chroot 于 198
云原生钻石课程 | 第1课:容器运行时技术深度剖析
xcbeyond|疯狂源自梦想,技术成就辉煌
03-26 390
点击上方“程序猿技术大咖”,关注并选择“设为星标”回复“加群”获取入群讨论资格!本篇文章来自《华为云云原生王者之路训练营》钻石系列课程第1课,由华为云容器技术架构师冯老师主讲,深入介绍了容器技术的神秘面纱,揭开其背后的技术原理,给大家还原一个清晰的容器运行时技术全貌。1容器引擎和运行时机制原理剖析容器引擎和运行时原理1:CRI接口CRI接口:kubelet调用容器运行时...
不止Docker:8款容器管理开源方案
Rancher
07-07 1776
Docker诞生于2013年,并普及了容器的概念,以至于大多数人仍然将容器的概念等同于“Docker容器”。 作为第一个吃螃蟹的人,Docker设置了新加入者必须遵守的标准。例如,Docker有一个大型系统镜像库。所有的替代方案都必须使用相同的镜像格式,同时试图改变Docker所基于的整个堆栈的一个或多个部分。 在此期间,出现了新的容器标准,容器生态系统朝着不同方向发展。现在除了Docker之外,还有很多方法可以使用容器。 在本文,我们将介绍以下内容: 将Chroot、cgroups和命名空间作为容.
Kubernetes (K8S)决定弃用 Docker!Kubernetes (K8S)学习详解
weixin_46408092的博客
12-13 1093
确实如此。Kubernetes 现已弃用 Docker!!! 目前,Kubernetes Docker 支持功能现已弃用,并将在之后的版本被删除。 Kubernetes 之前使用的是一个名为 dockershim 的模块,用以实现对 Docker 的 CRI 支持。 但 Kubernetes 社区发现了与之相关的维护问题,因此建议大家考虑使用包含 CRI 完整实现(兼容 v1alpha1 或 v1)的可用容器运行时。 简而言之,Docker 并不支持 CRI(容器运行时接口)这一..
懂了!VMware、KVM、Docker原来是这么回事儿
xuanyuan_fsx的专栏
06-29 3428
云计算时代,计算资源如同小马哥当年所言,已经成为了互联网上的水和电。 虚拟主机、web服务器、数据库、对象存储等等各种服务我们都可以通过各种各样的云平台来完成。 而在云计算欣欣向荣的背后,有一个重要的功臣,那就是虚拟化技术。可以毫不客气的说,没有了虚拟化技术,云计算无从谈起。 说起虚拟化你会想到什么?从我们常用的虚拟机三件套VMware、VirtualPC、VirutalBox到如今大火的KVM和容器技术Docker? 这些技术是什么关系,背后的技术原理是怎样的,又有什么样的区别,各自应用的场景又是什么
探索runC (下)
weixin_33744141的博客
12-31 551
回顾 本文接 探索runC(上) 前文讲到,newParentProcess() 根据源自 config.json 的配置,最终生成变量 initProcess ,这个 initProcess 包含的信息主要有 cmd 记录了要执行的可执行文件名,即 "/proc/self/exe init",注意不要和容器要执行的 sleep 5...
docker compose部署mongodb 分片集群
qq_62866151的博客
10-15 1351
将数据分散到不同的机器上,不需要功能强大的服务器就可以存储更多的数据和处理更大的负载。减少单个分片需要处理的请求数,提高集群的存储容量和吞吐量 比如,当插入一条数据时,应用只需要访问存储这条数据的分片 减少单分片存储的数据,提高数据可用性,提高大型数据库查询服务的性能。它不再需要单独生成密钥,将 config server 的密钥文件拷贝过来即可,切记一定要使用 config server 的密钥文件,不然会登录不进去。那么这个时候,要么使用这一串不知名的东西,要么就改这个节点的名字。
[k8s理论知识]4.docker基础(三)镜像分层
最新发布
weixin_45396500的博客
10-18 288
上一节内容讲了Docker的文件系统的挂载和隔离,也讲了Docker镜像打包了一部分的操作系统,既操作系统的文件系统和配置文件。但是容器在宿主机上运行的时候只能使用宿主机内核,这也带来了一定的局限性,就是高版本的docker镜像无法运行在低版本的宿主机上。
[k8s理论知识]3.docker基础(二)隔离技术
weixin_45396500的博客
10-18 838
容器其实是一种沙盒技术,其核心是通过约束和修改进程的动态表现,为其创建一个边界。这个边界确保了应用与应用之间不会相互干扰,同时可以方便在不同的环境迁移,这是PaaS最理想的状态。程序是代码的可执行镜像,通常以二进制文件的形式存储在磁盘上。但是当程序被执行时,操作系统会将程序的数据加载到内存,读取计算指令并指示CPU执行。CPU与内存协作进行计算,使用寄存器存放数值,内存堆栈保存执行的命令和变量,此外,程序还可能打开文件和调用IO设备。所有这些状态信息和数据信息的集合,构成了进程的动态表现。
Docker 教程九 (Docker Dockerfile)
失心少年
10-15 889
Dockerfile 是一个文本文件,包含了构建 Docker 镜像的所有指令。Dockerfile 是一个用来构建镜像的文本文件,文本内容包含了一条条构建镜像所需的指令和说明。通过定义一系列命令和参数,Dockerfile 指导 Docker 构建一个自定义的镜像。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值