[k8s]cgroup namespace测试 overlay测试

最新推荐文章于 2024-08-19 14:40:24 发布
最新推荐文章于 2024-08-19 14:40:24 发布
阅读量537 收藏
点赞数
分类专栏: k8s docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012997470/article/details/110119380
版权

容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”.

1.namespace

linux通过命名空间对进程,做到视图隔离.一个拥有独立命名空间的程序看不到其他命名空间的程序.linux提供了clone命令,参数中可以指定namespace.

int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

     docker exec原理:

     我们可以通过setns系统命令,将一个进程加入到某个namespace,

 

2.cgroup

cgroup允许我们对进程使用的资源做出限制.例如cpu,内存,磁盘等等.

实验:

1.进入cgroup目录.可以看到在cgroup目录下,可以对哪些资源进行限制

[root@tv2-callchain-tool-02 cgroup]# ls /sys/fs/cgroup/
blkio  cpu  cpuacct  cpu,cpuacct  cpuset  devices  freezer  hugetlb  memory  net_cls  net_cls,net_prio  net_prio  perf_event  pids  systemd

2.新建一个控制组目录,操作系统就会给我们生成对应的目录

[root@tv2-callchain-tool-02 cpu]# mkdir ctest
[root@tv2-callchain-tool-02 cpu]# ll ctest/
total 0
-rw-r--r-- 1 root root 0 Nov 25 11:16 cgroup.clone_children
--w--w--w- 1 root root 0 Nov 25 11:16 cgroup.event_control
-rw-r--r-- 1 root root 0 Nov 25 11:16 cgroup.procs
-r--r--r-- 1 root root 0 Nov 25 11:16 cpuacct.stat
-rw-r--r-- 1 root root 0 Nov 25 11:16 cpuacct.usage
-r--r--r-- 1 root root 0 Nov 25 11:16 cpuacct.usage_percpu
-rw-r--r-- 1 root root 0 Nov 25 11:16 cpu.cfs_period_us
-rw-r--r-- 1 root root 0 Nov 25 11:16 cpu.cfs_quota_us
-rw-r--r-- 1 root root 0 Nov 25 11:16 cpu.rt_period_us
-rw-r--r-- 1 root root 0 Nov 25 11:16 cpu.rt_runtime_us
-rw-r--r-- 1 root root 0 Nov 25 11:16 cpu.shares
-r--r--r-- 1 root root 0 Nov 25 11:16 cpu.stat
-rw-r--r-- 1 root root 0 Nov 25 11:16 notify_on_release
-rw-r--r-- 1 root root 0 Nov 25 11:16 tasks

如果我们再在这个目录底下创建目录呢?

[root@tv2-callchain-tool-02 cpu]# cd ctest/
[root@tv2-callchain-tool-02 ctest]# mkdir cchild_test
[root@tv2-callchain-tool-02 cchild_test]# ll /sys/fs/cgroup/cpu/ctest/cchild_test/
total 0
-rw-r--r-- 1 root root 0 Nov 25 11:20 cgroup.clone_children
--w--w--w- 1 root root 0 Nov 25 11:20 cgroup.event_control
-rw-r--r-- 1 root root 0 Nov 25 11:20 cgroup.procs
-r--r--r-- 1 root root 0 Nov 25 11:20 cpuacct.stat
-rw-r--r-- 1 root root 0 Nov 25 11:20 cpuacct.usage
-r--r--r-- 1 root root 0 Nov 25 11:20 cpuacct.usage_percpu
-rw-r--r-- 1 root root 0 Nov 25 11:20 cpu.cfs_period_us
-rw-r--r-- 1 root root 0 Nov 25 11:20 cpu.cfs_quota_us
-rw-r--r-- 1 root root 0 Nov 25 11:20 cpu.rt_period_us
-rw-r--r-- 1 root root 0 Nov 25 11:20 cpu.rt_runtime_us
-rw-r--r-- 1 root root 0 Nov 25 11:20 cpu.shares
-r--r--r-- 1 root root 0 Nov 25 11:20 cpu.stat
-rw-r--r-- 1 root root 0 Nov 25 11:20 notify_on_release
-rw-r--r-- 1 root root 0 Nov 25 11:20 tasks

可以看到这个控制就是使用的目录结构来控制

[root@tv2-callchain-tool-02 cpu]# ls -R ctest/
ctest/:
cchild_test            cgroup.event_control  cpuacct.stat   cpuacct.usage_percpu  cpu.cfs_quota_us  cpu.rt_runtime_us  cpu.stat           tasks
cgroup.clone_children  cgroup.procs          cpuacct.usage  cpu.cfs_period_us     cpu.rt_period_us  cpu.shares         notify_on_release

ctest/cchild_test:
cgroup.clone_children  cgroup.procs  cpuacct.usage         cpu.cfs_period_us  cpu.rt_period_us   cpu.shares  notify_on_release
cgroup.event_control   cpuacct.stat  cpuacct.usage_percpu  cpu.cfs_quota_us   cpu.rt_runtime_us  cpu.stat    tasks

如果我们创建两个容器.

[root@tv2-callchain-tool-02 cpu]# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
8e361a99140a        busybox             "sh"                8 seconds ago       Up 8 seconds                            container2
54b4f023e028        busybox             "sh"                16 seconds ago      Up 16 seconds                           container
[root@tv2-callchain-tool-02 cpu]# ls -R /sys/fs/cgroup/cpu/docker/
/sys/fs/cgroup/cpu/docker/:
54b4f023e028cf83ca435581f29fd42e5cfbfab4fd03ae274c815eab812e5c65  cgroup.clone_children  cgroup.procs  cpuacct.usage         cpu.cfs_period_us  cpu.rt_period_us   cpu.shares  notify_on_release
8e361a99140a9aa028b9318f45ed85a6f1eabe6ea9da63638b15b4431121a13f  cgroup.event_control   cpuacct.stat  cpuacct.usage_percpu  cpu.cfs_quota_us   cpu.rt_runtime_us  cpu.stat    tasks

/sys/fs/cgroup/cpu/docker/54b4f023e028cf83ca435581f29fd42e5cfbfab4fd03ae274c815eab812e5c65:
cgroup.clone_children  cgroup.procs  cpuacct.usage         cpu.cfs_period_us  cpu.rt_period_us   cpu.shares  notify_on_release
cgroup.event_control   cpuacct.stat  cpuacct.usage_percpu  cpu.cfs_quota_us   cpu.rt_runtime_us  cpu.stat    tasks

/sys/fs/cgroup/cpu/docker/8e361a99140a9aa028b9318f45ed85a6f1eabe6ea9da63638b15b4431121a13f:
cgroup.clone_children  cgroup.procs  cpuacct.usage         cpu.cfs_period_us  cpu.rt_period_us   cpu.shares  notify_on_release
cgroup.event_control   cpuacct.stat  cpuacct.usage_percpu  cpu.cfs_quota_us   cpu.rt_runtime_us  cpu.stat    tasks

怎么做限制:

每个目录下都有一个tasks文件,里面可以存进程id.我们看下docker里是怎么存的.

[root@tv2-callchain-tool-02 docker]# cat /sys/fs/cgroup/cpu/docker/tasks
[root@tv2-callchain-tool-02 docker]# cat /sys/fs/cgroup/cpu/docker/54b4f023e028cf83ca435581f29fd42e5cfbfab4fd03ae274c815eab812e5c65/tasks
2753337
[root@tv2-callchain-tool-02 docker]# cat /sys/fs/cgroup/cpu/docker/8e361a99140a9aa028b9318f45ed85a6f1eabe6ea9da63638b15b4431121a13f/
cat: /sys/fs/cgroup/cpu/docker/8e361a99140a9aa028b9318f45ed85a6f1eabe6ea9da63638b15b4431121a13f/: Is a directory
[root@tv2-callchain-tool-02 docker]# cat /sys/fs/cgroup/cpu/docker/8e361a99140a9aa028b9318f45ed85a6f1eabe6ea9da63638b15b4431121a13f/tasks
2753446

可以看到:操作系统对docker本身这个进程没有做限制.但是docker启动的容器,做出了限制.容器的进程id分别为2753337 ,2753446.

具体的实验,可以参考左耳朵耗子 大神的实验.

参考:https://coolshell.cn/articles/17049.html

3.rootfs,aufs,overlayfs

aufs(advance union file system),联合文件系统,不同物理位置的目录合并mount到同一个目录中.参考docker 镜像原理.

但是当我进行测试的时候,发现一直报错

[root@tv2-callchain-tool-02 testAufs]# ls -R .
.:
a  b  c

./a:
a1  a2

./b:
b1  b2

./c:
[root@tv2-callchain-tool-02 testAufs]# mount -t aufs -o dirs=./a:./b none ./c
mount: unknown filesystem type 'aufs'

###这里报错,没有发现aufs文件系统#####

 原因:

       目前,linux操作系统默认已经使用 overlayfs,相比aufs,overlay实现更简洁. overlay介绍

docker 使用overlay文件系统来构建和管理镜像与容器的磁盘结构。具体使用可以参考博客();

联合文件系统就是可以把多个目录整合成一个目录,提供给用户.例如我们下载一个镜像,会下载多个文件,然后这几个文件可以整合起来.分层构建

[root@tv2-callchain-tool-02 overlay2]# ls -l /var/lib/docker/overlay2/
total 32
drwx------ 4 root root 4096 Nov 25 10:54 31f5988823e11f00a3768a6846cf893a034a422a0536b1cd83f411491d9d6444
drwx------ 4 root root 4096 Nov 25 10:54 31f5988823e11f00a3768a6846cf893a034a422a0536b1cd83f411491d9d6444-init
drwx------ 5 root root 4096 Nov 25 12:49 44f8d7c28f545bd10acaea67d7138774445389171a66b418dae0d83469c8e29b
drwx------ 4 root root 4096 Nov 25 12:49 44f8d7c28f545bd10acaea67d7138774445389171a66b418dae0d83469c8e29b-init
drwx------ 5 root root 4096 Nov 25 12:49 7c34c1a7b522c41468ab98a37d286eb1bf229417e524fd2ee779746d9e8452ee
drwx------ 4 root root 4096 Nov 25 12:49 7c34c1a7b522c41468ab98a37d286eb1bf229417e524fd2ee779746d9e8452ee-init
drwx------ 3 root root 4096 Nov 24 01:06 f372b41854fc9a3a184d50b2398b444b2265e9219e723312b826340c0a2245f5
drwx------ 2 root root 4096 Nov 25 12:49 l

 

 

搬砖使我快乐!
关注
专栏目录
【ubuntu24.04】k8s 部署6:calico容器正常启动
突围
08-19 240
拥有一个带有 Calico 的单主机 Kubernetes 集群。
k8s 1.23 + centos7 部署
maxwell code的博客
07-20 88
基于centos7.9,docker部署k8s1.23,包括dashboard、metrics-server。
docker理论 Cgroup namespace 各种隔离
weixin_34185320的博客
08-10 418
耦合 是指两个或两个以上的体系或者两种运动形式间通过相互作用而批次影响以至联合起来的现象。 Nginx与apache 在同一台服务器运行都占用80端口,起冲突这是我们修改其中一个端口为8080 半解耦 同一个操作系统中两者共存各有各的特征 就是在同一个操作系统开启相同的程序 解耦 在当前服务器安装一个虚拟机在安装服务(类似于在自己电脑上安装的虚拟机)然后再把所需要的...
挂载问题 mount: unknown filesystem type ‘(null)‘解决
qq_35985044的博客
01-09 1万+
挂载问题 mount: unknown filesystem type '(null)'解决
linux(centos)内核升级
小白成神路
11-23 8389
1、背景描述 有一个业务需要使用overlay文件系统,经查overlayfs需要linux内核3.14以上,我使用的两台测试机是2.x和3.10,均不支持overlayfs,在overlay挂载时均报错: mount: unknown filesystem type 'overlay' 遂需要对linux内核做升级。 2、查看那系统内核版本 # uname -r 3.10.0-514.el7....
自己动手写Docker
fightinggg的博客
09-04 1004
原文链接 链接 容器与开发语言 容器 随着云计算领域的兴起,容器这个词出现了,但是什么是容器? 容器英文名Container,是基于Linux Namespace以及Cgroups技术实现的具备隔离特性的一组进程。 OK,他是一组具备隔离特性的进程。 虚拟机 虚拟机是使用Hypervisor技术提供的虚拟化硬件的操作系统。 OK,虚拟机是一个操作系统。 操作系统和进程的区别 操作系统是管理软件、硬件的一组进程。 GO 这里不做介绍(其实我只能看懂一点点Go代码,没时间学,后面有机会再出这方面的Blog吧
Linux提示:mount: 未知的文件系统类型“ntfs”
A-Itfuture的博客
05-07 2008
时,确保您使用的是最新版本,因为它对NTFS文件系统的支持最为完整。此外,NTFS文件系统在Linux下的写入权限可能需要额外的配置,特别是如果您需要以非root用户身份写入该文件系统。在Linux系统中,如果遇到“mount: 未知的文件系统类型‘ntfs’”的错误,这通常意味着您的系统没有安装支持NTFS文件系统的软件。首先,确定您的NTFS设备名称,通常是。条目,您可能需要重新挂载所有配置的文件系统或重启系统以使更改生效。找到您的NTFS设备的UUID,然后将其添加到。替换为您的设备名称,
k8s创建pod资源失败OCI runtime create failed systemd cgroup flag passed, but systemd support for managing c
河静
04-29 3073
1. 日志 # tail -f kube-kubelet/kubelet.stdout.log E0429 10:15:27.063665 66707 remote_runtime.go:105] RunPodSandbox from runtime service failed: rpc error: code = Unknown desc = failed to start sandbox container for pod "nginx-ds-8bpc6": Error response fro
k8s】master节点重新安装docker-ce
最新发布
突围
08-19 253
docker
k8s 1.27 + centos 7 + containerd 部署
maxwell code的博客
07-20 266
基于centos 7、containerd部署k8s1.27,包括dashboard、metric-server
在linux中mount ntfs文件系统
08-10
在linux系统中mount ntfs文件系统,包括使用说明。
【解决】mount: unknown filesystem type ‘ntfs’
丑小鸭
05-18 1万+
此问题在Centos上挂载U盘的时候可能会出现,也就是使用的U盘文件为ntfs类型的,系统不是那么友好,所以需要安装一些库,来让系统有读U盘文件的功能,这里介绍两种解决方案,本质上都是使用 ntfs-3g 来解决的: 方案 1 root权限下使用: yum install ntfs 这个完成安装即可 方案 2 打开ntfs-3g的下载链接进入 下载最新版本,然后解压 【最好在root权限下】安装需要有GCC环境,如果没有GCC环境,最好先 yum install gcc tar zxvf ntf
AUFS使用实例
海盗的小菜园
12-19 5731
AUFS使用实例   什么是AUFS,简单说就是一个文件系统,可以把不同的目录联合在一起。这种文件系统不用格式化,直接挂载即可。之所以有这篇博文,是因为Docker中要使用它。在Ubuntu 12.0.4下安装比较简单,其他系统需自己研究。直接apt-get install就可以了,安装后如下: root@localhost:/tmp/test/aufs#cat /etc/issue Ubun
mount gives unknown filesystem type 'vboxsf' 解决方法
FrankDura的博客
05-24 1997
综述 mount gives unknown filesystem type ‘vboxsf’ 挂载的时候报错! 解决方法 安装virtual box的增强件: sudo apt-get install virtualbox-guest-x11 然后重启即可!
配置VirtualBox共享文件夹遇到unknown filesystem type 'vboxsf'的解决方法
热门推荐
QQ_904490352的博客
09-01 2万+
一、问题现象 为了方便的实现宿主机和虚拟机之间的文件共享,想利用VirtualBox提供的共享文件夹的功能,按照网上找到的方法做了设置,但在CentOS虚拟机中仍然无法mount,提示mount: unknown filesystem type'vboxsf' 二、分析与解决 1、不能识别vboxsf类型的文件系统,是由于未安装VirtualBox增强功能
overlay filesystem
翟海飞
04-21 3095
原文:https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt Written by: Neil Brown Please see MAINTAINERS file for where to send questions. Overlay Filesystem ================== This do
linux系统挂载硬盘报错:mount: unknown filesystem type ‘ntfs‘
灬紫荆灬
10-24 5510
原因 系统不支持ntfs格式的分区 解决 安装ntfs-3g工具,具体步骤如下 1、下载ntfs-3g_ntfsprogs-xxxx.xx.xx.tgz包,下载地址: http://www.tuxera.com/community/ntfs-3g-download/ 2、安装 tar zvxf ntfs-3g_ntfsprogs-2017.3.23.tgz cd ntfs-3g_ntfsprog...
容器原理之cgroup
qq_41497074的博客
01-23 1294
cgroup(control group)是一个内核特性,用于限制、统计、隔离一组进程的资源(CPU、内存、磁盘、网络等),首字母不要大写。Google 工程师在 2006 年开始提出这个特性,最早叫“process containers”,为了避免造成歧义,在 2007 年改名为“control group”,在 2008 年 1 月发布的 Linux Kernel 2.6.24 合入主线分支。
overlay文件系统浅析
esion23011的专栏
08-18 1万+
overlayfs文件系统类似于aufs,相比aufsoverlay实现更简洁,很早就合入了linux主线, 合入主线后overlayfs修改为overlaydocker 使用overlay文件系统来构建和管理镜像与容器的磁盘结构。 overlay文件系统分为lowerdir、upperdir、merged, 对外统一展示为merged,uperdir和lower的同名文件会被u
k8s cgroup
08-05
Kubernetes (k8s) 是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。而 cgroup(Control ...总之,k8s 使用 cgroup 来管理和控制容器的资源使用,以确保应用程序能够在一个可控的环境中运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值