Docker中利用namespace来做权限控制,用cgroups来做资源控制,这两个都是非常重要的,下面是整理了一些关于cgroups相关的。
cgroups全称control groups ,是Linux内核提供的一种机制,用来限制、控制与分离一个进程组的资源(如CPU、内存、磁盘输入输出等)。
cgroups最初的目标是为资源管理提供的一个统一的框架,即整合现有的cpuset等子系统,也为未来开发新的子系统提供接口。现在的cgroups适用于多种应用场景,从单个进程的资源控制,到实现操作系统层次的虚拟化,cgroups提供了以下功能:
- 限制进程组可以使用的资源数量(Resource limiting)。
- 进程组的优先级控制(Prioritization)。
- 记录进程组使用的资源数量(Accounting)。
- 进程组隔离(lsolation)。
- 进程控制组(control)。
cgroup的API以一个伪文件系统的方式实现,即用户可以通过文件操作实现cgroup的组织管理。
cgroup 的组织管理操作单元可以细粒度到线程级别,用户态代码也可以针对系统分配的资源创建和销毁cgroup,从而实现资源再分配和管理。
所有资源管理的功能都以subsystem(子系统)的方式实现。
子进程创建之初与其父进程处于同一个cgroups的控制组。
术语:
task(任务)
系统中的进程。
cgroup(控制组)
cgroups中的资源控制都以cgroup为单位实现。cgroup表示按某种资源控制标准划分而成的任务组,包含一个或多个子系统。一个任务可以加入某个cgroup,也可以从某个cgroup迁移到另外一个cgroup。
subsystem(子系统)
cgroups中的subsystem就是一个资源调度控制器(Resource Controller)。比如CPU子系统可以控制CPU时间分配,内存子系统可以限制cgroup内存使用量。
hierarchy(层级树)
hierarchy由一系列cgroup以一个树状结构排列而成,每个hierarchy通过绑定对应的subsystem进行资源调度。hierarchy中的cgroup节点可以包含0或者多个子节点,子节点继承父节点属性。整个系统可以有多个hierarchy。
cgroup是分层管理的,类似进程,且子cgroup会继承上级cgroup的一些属性。
下面简单做一个对指定进程cpu使用率限制的例子感受下。
先用mount命令查看挂载目录
mount -t cgroup
cd 过去创建一个测试的节点(文件夹)
cd /sys/fs/cgroup/cpu
sudo mkdir cpu_limit_demo
创建好cpu_limit_demo目录后cd过去会发现系统会自动创建很多文件。
跟上一层路径下面的文件很像,可以理解成是树的更深一个层的节点。
cfs_period 和 cfs_quota两个文件,这两个参数需要组合使用,可以用来限制进程在长度为cfs_period 的一段时间内,只能被分配到总量为cfs_quota 的 CPU 时间。
看下默认值:
-1表示不启用,假如现在想控制某个进程cpu上限是50%,就在quota里面直接插入一个50000(period的一半)。
先跑一个whlie1 把 cpu 打满
while : ; do : ; done &
然后执行 echo 50000 > cpu.cfs_quota_us 限制50% 使用率,然后再把需要限制的pid卸载tasks里面 echo 30880 > tasks
还有很多其他限制例子,可以看下这个
https://www.cnblogs.com/wdliu/p/10509045.html
扫一扫
1780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
