Docker是怎么利用cgroup技术来实现资源限制的?

最新推荐文章于 2023-05-17 16:56:50 发布
最新推荐文章于 2023-05-17 16:56:50 发布
阅读量342 收藏
点赞数
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38499215/article/details/101626175
版权

Cgroup

cgroup和namespace类似,也是把进程进行分组,但是目的和namespace不一样,namespace是为了隔离进程组之间的资源.而cgroup是为了对一组进程进行统一的资源监控与限制.

cgroup技术把系统中所有的进程组织成一棵棵独立的树,每一棵树都有系统所有的进程
树的每个节点都是一个进程组.而每一棵树又于一个或者多个subsystem关联,树的作用是把进程分组,而subsystem作用是对这些组进行操作.

  • cgroup cgroup树的一个节点,相当于一个进程组.

  • subsystem 一个subsystem就是一个内核模块,他被关联到一颗cgroup树之后,就会在树的每个节点(进程组)上做具体的操作。subsystem经常被称作"resource controller",因为它主要被用来调度或者限制每个进程组的资源,但是这个说法不完全准确,因为有时我们将进程分组只是为了做一些监控,观察一下他们的状态,比如perf_event subsystem。到目前为止,Linux支持12种subsystem,比如限制CPU的使用时间,限制使用的内存,统计CPU的使用情况,冻结和恢复一组进程等,后续会对它们一一进行介绍。

  • hierarchy 一个hierarchy可以理解为一棵cgroup树,树的每个节点就是一个进程组,每棵树都会与零到多个subsystem关联。在一颗树里面,会包含Linux系统中的所有进程,但每个进程只能属于一个节点(进程组)。系统中可以有很多颗cgroup树,每棵树都和不同的subsystem关联,一个进程可以属于多颗树,即一个进程可以属于多个进程组,只是这些进程组和不同的subsystem关联。目前Linux支持12种subsystem,如果不考虑不与任何subsystem关联的情况(systemd就属于这种情况),Linux里面最多可以建12颗cgroup树,每棵树关联一个subsystem,当然也可以只建一棵树,然后让这棵树关联所有的subsystem。当一颗cgroup树不和任何subsystem关联的时候,意味着这棵树只是将进程进行分组,至于要在分组的基础上做些什么,将由应用程序自己决定,systemd就是一个这样的例子。

以上摘自
https://segmentfault.com/a/1190000006917884

定义Cgroups数据结构

package subsystems

type ResourceConfig struct {
	MemoryLimit string
	CpuShare    string
	CpuSet      string
}

//Subsystem 接口,每个Subsystem可以实现下面四个接口:
//cgroup抽象为path,因为cgroup在hierarchy的路径便是虚拟文件系统中的虚拟路径
type Subsystem interface {
	Name() string
	Set(path string, res *ResourceConfig) error
	Apply(path string, pid int) error
	Remove(path string) error
}

var (
	SubsystemsIns = []Subsystem{
		&CpusetSubSystem{},
		&MemorySubSystem{},
		&CpuSubSystem{},
	}
)

然后我们编写memory的subsystem操作

无非是apply,remove,set与name

package subsystems

import (
	"fmt"
	"io/ioutil"
	"os"
	"path"
	"strconv"
)

type MemorySubSystem struct {
}

/*
取得subsystem在当前虚拟文件系统中的路径

然后往这个路径的memory.limit_in_bytes 中设置允许的最大内存

*/
func (s *MemorySubSystem) Set(cgroupPath string, res *ResourceConfig) error {
	if subsysCgroupPath, err := GetCgroupPath(s.Name(), cgroupPath, true); err == nil {
		if res.MemoryLimit != "" {
			if err := ioutil.WriteFile(path.Join(subsysCgroupPath, "memory.limit_in_bytes"), []byte(res.MemoryLimit), 0644); err != nil {
				return fmt.Errorf("set cgroup memory fail %v", err)
			}
		}
		return nil
	} else {
		return err
	}

}

/*
删除cgroup path中的cgroup
*/
func (s *MemorySubSystem) Remove(cgroupPath string) error {
	if subsysCgroupPath, err := GetCgroupPath(s.Name(), cgroupPath, false); err == nil {
		return os.RemoveAll(subsysCgroupPath)
	} else {
		return err
	}
}

/*
把一个进程加入到cgroupPath对应的cgroup当中
*/
func (s *MemorySubSystem) Apply(cgroupPath string, pid int) error {
	if subsysCgroupPath, err := GetCgroupPath(s.Name(), cgroupPath, false); err == nil {
		if err := ioutil.WriteFile(path.Join(subsysCgroupPath, "tasks"), []byte(strconv.Itoa(pid)), 0644); err != nil {
			return fmt.Errorf("set cgroup proc fail %v", err)
		}
		return nil
	} else {
		return fmt.Errorf("get cgroup %s error: %v", cgroupPath, err)
	}
}

func (s *MemorySubSystem) Name() string {
	return "memory"
}

如何找到挂载了subsystem的hierarchy的挂载路径?

在这里插入图片描述可以通过这个指令来完成.代表subsystem是读写的memory

  • 首先根据上面指令结果,要找到挂载某个subsystem的hierarchy cgroup根节点所在的目录
//找出cgroup的挂载点
func FindCgroupMountpoint(subsystem string) string {
	f, err := os.Open("/proc/self/mountinfo")
	if err != nil {
		return ""
	}
	defer f.Close()

	scanner := bufio.NewScanner(f)
	for scanner.Scan() {
		txt := scanner.Text()
		fields := strings.Split(txt, " ")
		//47 33 0:42 / /sys/fs/cgroup/memory rw,nosuid,nodev,noexec,relatime shared:24 - cgroup cgroup rw,memory
		for _, opt := range strings.Split(fields[len(fields)-1], ",") {
			if opt == subsystem {
				//47 33 0:42 / /sys/fs/cgroup/memory rw,nosuid,nodev,noexec,relatime shared:24 - cgroup cgroup rw,memory
				//fields[4] = /sys/fs/cgroup/memory
				return fields[4]
			}
		}
	}
	if err := scanner.Err(); err != nil {
		return ""
	}

	return ""
}
  • 然后要找到这个subsystem的绝对路径
func GetCgroupPath(subsystem string, cgroupPath string, autoCreate bool) (string, error) {
	cgroupRoot := FindCgroupMountpoint(subsystem)
	if _, err := os.Stat(path.Join(cgroupRoot, cgroupPath)); err == nil || (autoCreate && os.IsNotExist(err)) {
		if os.IsNotExist(err) {
			if err := os.Mkdir(path.Join(cgroupRoot, cgroupPath), 0755); err == nil {
			} else {
				return "", fmt.Errorf("error create cgroup %v", err)
			}
		}
		return path.Join(cgroupRoot, cgroupPath), nil
	} else {
		return "", fmt.Errorf("cgroup path error %v", err)
	}
}

那么怎么把容器的进程移到每个subsystem创建的cgroup当中?
以及我们怎么样实际对subsystem的cgroup做资源的限制,从而实现容器进程的资源限制?
就要看以下函数了.

package cgroups

import (
	"./subsystems"
	"github.com/Sirupsen/logrus"
)

type CgroupManager struct {
	// cgroup在hierarchy中的路径 相当于创建的cgroup目录相对于root cgroup目录的路径
	Path     string
	// 资源配置
	Resource *subsystems.ResourceConfig
}

func NewCgroupManager(path string) *CgroupManager {
	return &CgroupManager{
		Path: path,
	}
}

// 将进程pid加入到这个cgroup中
func (c *CgroupManager) Apply(pid int) error {
	for _, subSysIns := range(subsystems.SubsystemsIns) {
		subSysIns.Apply(c.Path, pid)
	}
	return nil
}

// 设置cgroup资源限制
func (c *CgroupManager) Set(res *subsystems.ResourceConfig) error {
	for _, subSysIns := range(subsystems.SubsystemsIns) {
		subSysIns.Set(c.Path, res)
	}
	return nil
}

//释放cgroup
func (c *CgroupManager) Destroy() error {
	for _, subSysIns := range(subsystems.SubsystemsIns) {
		if err := subSysIns.Remove(c.Path); err != nil {
			logrus.Warnf("remove cgroup fail %v", err)
		}
	}
	return nil
}

总结一下:

最核心的几步可抽象为:

    //初始化subsystem实例
	cgroupManager := cgroups.NewCgroupManager("mydocker-cgroup")
	defer cgroupManager.Destroy()
	//遍历调用各个subsystem实例的set方法,创建与配置不同subsystem挂载的cgroup
	cgroupManager.Set(res)
	//把当前容器进程ID遍历加入到那些cgroup
	cgroupManager.Apply(parent.Process.Pid)

那么容器进程就会加入到这些subsystem所对应的cgroup(进程组中),subsystem通过对进程组做资源限制,从而实现了对容器进程的资源限制.

小凯Alex
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker——Cgroup资源限制
m0_49226664的博客
12-03 417
目录一、Cgroup简介一、使用 stress 工具测试 CPU 和内存二、CPU 周期限制三、CPU Core 控制四、内存限额五、Block IO 的限制六、bps 和 iops 的限制 一、Cgroup简介 一、使用 stress 工具测试 CPU 和内存 使用 Dockerfile 来创建一个基于 Centos 的 stress 工具镜像。 生成镜像 docker build -t centos:stress . 二、CPU 周期限制 三、CPU Core 控制 四、内存限额 五、Block I
Cgroup资源限制
01-22 569
一、Cgroup (1)Docker通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。 (2)Cgroup 是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源的机制。 Cgroup 子系统: 1、blkio:设置限制每个块设备的输入输出控制; 2、cpu:使用调度程序为 cgroup 任务提供 cpu 的访问...
cgroup资源限制《深入docker底层原理》
不积跬步,无以至千里;不积小流,无以成江海。
11-26 400
docker 利用 Linux 内核的 cgroup 功能,实现对容器的资源使用限制,通过将容器内的进程 PID号 加入同一个以容器ID为开头命名的cgroup控制组内,实现容器进程的资源限制 1. 验证当前主机已挂载cgroup [root@lyx-rds-1126 ~]# mount -t cgroup cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/us
容器基础(三): 使用Cgroups进行资源限制
dnet30833的博客
12-04 352
Linux Cgroups Linux Cgroups 是 Linux 内核中用来为进程设置资源限制的一个重要功能. Cgroups将进程进行分组, 然后对这一组进程进行统一的资源监控和限制Cgroups当前有V1和V2版本,为了后续用于实现简单容器sdocker,这里只验证V1版本的cpu和memory子系统。 Linux可以通过如下命令来查看当前系统支持的cgroup子系统:...
如何灵活运用Linux 进程资源监控和进程限制
Jack__CJ的博客
10-07 1216
导读 每个 Linux 系统管理员都应该知道如何验证硬件、资源和主要进程的完整性和可用性。另外,基于每个用户设置资源限制也是其中一项必备技能。 在这篇文章中,我们会介绍一些能够确保系统硬件和软件正常工作的方法,这些方法能够避免潜在的会导致生产环境下线或钱财损失的问题发生。 报告 Linux 进程统计信息 你可以使用 mpstat 单独查看每个处理器或者系统整体的活动,可以是
docker cgroup 资源监控的详解
01-11
docker cgroup 资源监控的详解 1.cgroup术语解析: blkio: 这个subsystem可以为块设备设定输入/输出限制,比如物理驱动设备(包括磁盘、固态硬盘、USB等)。 cpu: 这个subsystem使用调度程序控制task对CPU的使用...
详解Docker 容器使用 cgroups 限制资源使用
01-20
为了让容器中的进程更加可控,Docker 使用 Linux cgroups限制容器中的进程允许使用的系统资源。 1. 基础知识:Linux control groups 1.1 概念  Linux Cgroup 可​​​让​​​您​​​为​​​系​​​统​​​...
Docker入门系列–Docker资源限制(八)
01-07
Docker入门系列–Docker资源限制(八) 1、内存资源限制 相关说明 CGroup是Control Groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物力资源(如cpu mempry i/o等等)的...
Docker底层服务之NameSpace、Cgroup、存储、网络.docx
01-02
除了 NameSpace 和 Cgroup 之外,Docker利用了一些其他的关键技术来支持容器化的存储和网络功能。例如,Docker 使用了不同的存储驱动来支持容器的持久化数据管理,以及通过各种网络模式来支持容器之间的通信。 ...
docker容器资源配额控制详解
01-10
cgroup是Control Groups的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 cpu、memory、磁盘IO等等) 的机制,被LXC、docker等很多项目用于实现进程资源控制。cgroup将任意进程进行分组...
启动Docker遇到 cgroups: cgroup mountpoint does not exist: unknown 报错处理
放弃很容易,坚持一定很棒!
05-17 4285
Docker启动提示:Error response from daemon: cgroups: cgroup mountpoint does not exist: unknown。执行命令二:sudo mount -t cgroup -o none,name=systemd cgroup /sys/fs/cgroup/system。执行命令一:sudo mkdir /sys/fs/cgroup/systemd。错误信息指出:cgroup的挂载点不存在。
cgroups: cgroup mountpoint does not exist: unknown报错处理
kworkers的博客
06-01 5363
临时处理方法: sudo mkdir /sys/fs/cgroup/systemd sudo mount -t cgroup -o none,name=systemd cgroup /sys/fs/cgroup/systemd``` 参考:https://github.com/moby/moby/issues/36016
Cgroup 研究报告
omnispace的博客
05-02 444
Control Groups (Cgroups) 是 Red Hat Enterprise Linux 6 (以后简称 RHEL6) 提供的一项内核功能。Cgroup是将任意进程进行分组化管理的内核功能。 Cgroup提供了一个cgroup虚拟文件系统,作为进行分组管理和各子系统设置的用户接口。因此,要使用cgroup,必须先挂载cgroup文件系统: mount -t cgroup -o 子系统名 层级名(目录名) /sys/fs/cgroup/层级名(目录名) 我们可以使用 Cgroups 为任
kubelet源码分析-创建
a1023934860的博客
12-06 941
kubelet是k8s单独部署的应用,它是一个节点的监视器,管理器。 我们操作的所有资源信息最后的最后都是由kubelet呈现出来的,比如创建pod。所以它是k8s的核心(我认为)。 ![image.png](https://img-blog.csdnimg.cn/img_convert/f434af953e0b87be12f27be40ddf1509.png#clientId=u5956da4a-678f-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=43
Cgroup基本使用
zyfforlinux
11-05 9541
About在我的上一篇博文中已经谈到了Cgroup的一些基本概念,以及这些概念之间的关系。那么本篇博文则从感性一面来看看Cgroup到底是个啥?在linux系统上Cgroup实现为一个filesystem,通过对filesystem的基本操作(mount,read,write等),来 实现对Cgroup的控制。本篇博文的实验环境是Red_Hat_Enterprise_Linux-6.5。Hier
how to use cgroup
killmice的专栏
09-10 910
TechRest CategoriesArchiveTagsAboutPages how to use cgroup Cgroup 用法 13 January 2014 介绍docker的的过程中,提到lxc利用cgroup来提供资源的限额和控制,本文主要介绍cgroup的用法和操作命令,主要内容来自 [1]https://access.
综合约束命令group_path的理解
学而不思则罔,思而不学则殆
02-23 1万+
定义 特点 意义 利用group_path命令,可以控制时序优化的目标范围。 相关命令 参考文档 定义 设计的时序路径分组,叫做path groups。 默认,每个时钟域对应一个path group。 特点 DC综合时序优化,每个path group,先优化关键路径(即最差的时序路径),然后才会优化接下来最差的时序路径。 关键路径找不到优化解决方案,就会报告时序...
mount point / 挂载点
songpeng26的博客
03-29 4208
挂载点定义: A mount point is a directory (typically an empty one) in the currently accessible filesystem on which an additional filesystem is mounted (i.e., logically attached). 挂载点的个人理解: linux的设备挂载比较灵活,在目...
mount: mount point does not exist的错误
热门推荐
柳鲲鹏
09-15 7万+
  比如目录是./remote_data,那么这个目录必须存在(当前目录下)。
docker中的cgroup是什么东西
最新发布
06-10
Cgroup(Control Group)是 Linux 内核提供的一种机制,用于将进程组织成一组,并对该组中的进程分配资源,例如 CPU、内存、磁盘、网络带宽等。Cgroup 可以控制进程组的系统资源使用,并在资源不足时对其进行限制,从而防止某个进程组占用过多资源导致整个系统崩溃。 Docker 中的 Cgroup 是一种能力,它允许容器将资源隔离。Docker 使用 Cgroup限制容器可以使用的资源。例如,可以使用 Cgroup 限制容器使用的 CPU、内存、磁盘、网络等资源。在 Docker 中,每个容器都有自己的 Cgroup 层次结构,Docker 会在每个容器中创建一个 Cgroup。这意味着,在 Docker 中,可以使用 Cgroup 控制每个容器的资源使用。 通过使用 CgroupDocker 可以确保容器之间的资源隔离,并且可以更好地控制容器可以使用的资源。这有助于确保在多个容器运行在同一主机上时,每个容器都能够获得足够的资源,并且不会互相干扰。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值