容器技术基石:Linux namespace 和 cgroups,运维了解一下

最新推荐文章于 2024-05-04 23:01:18 发布
最新推荐文章于 2024-05-04 23:01:18 发布
阅读量309 收藏 1
点赞数
文章标签: 网络 linux docker python java
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3NzQ4MTE4Mw==&mid=2247507784&idx=1&sn=7537d78ced340d564dae2aa48dd415dd&chksm=eb670cf8dc1085ee258fd32551aa98b8eda7ca535b9454547d0146c1fdf7780e83c8349d1a0e&scene=126&&sessionid=0
版权

465e975b3eeb8829b11d4bdb82e78743.gif

先放结论,namespace 是用来做资源隔离, cgroup 是用来做资源限制。

Namespace

先说Namespace,虚拟技术基本要求就是资源隔离,简单的说就是我独占当前所有的资源。比如我在 8080 端口起 web 服务器,不用担心其他进程端口占用。Linux 自带 namespace 就能达到这个目的。namespace 从2002 开始开发到现在已经快20年的历史了,到现在一共有6种 namespace:

  • mnt, 文件系统

  • pid, 进程

  • net, 网络

  • ipc, 系统进程通信

  • uts, hostname

  • user, 用户

可以通过三个系统调用的方式

  • clone,创建新的进程和新的namespace,新创建的进程 attach 到新创建的 namespace

  • unshare,不创建新的进程,创建新的 namespace 并把当前进程 attach 上

  • setns, attach 进程到已有的 namespace 上

shell 也提供了一个和系统调用同名的 unshare 命令可以非常简单的创建 namespace。

sudo unshare --fork --pid --mount-proc bash

这样创建了一个新的 PID namespace 并在里面运行了 bash。我们看看当前 namespace 的进程

4c31678f5f3a5db82501af027f02a580.png

在这个 namespace 里,就只有两个进程了。

Cgroups

cgroups 是 control groups 控制组的意思, 可以通过文件系统来访问这些信息。一般cgroups 挂载在 /sys/fs/cgroup

6e2262f64814edb67b1f4f3a8c9d9d13.png

内核会读取这些信息来调度资源分配给每个进程。比如我要限制进程占用CPU的时间。我用 Go 写了一个模拟高 CPU 的代码。

func IsPrime(value int) bool {
    for i := 2; i <= int(math.Floor(float64(value)/2)); i++ {
        if value%2 == 0 {
            return false
        }
    }
    return true
}

func main() {
    for i := 0; i < 999999999; i++ {
        fmt.Printf("%v is prime: %v\n", i, IsPrime(i))
    }
}

我创建两个 CPU 的 cgroups

sudo cgcreate -g cpu:/cpulimited
sudo cgcreate -g cpu:/lesscpulimited

cpu.shares 是给内核为每个进程决定 CPU 计算资源,默认值是1024。给 cpulimited 设置为 512,lesscpulimited 保留默认值,那么在这两个组的进程会以1 :2的比例占用CPU。

sudo cgset -r cpu.shares=512 cpulimited
ebc7170de5e0d9aae4a2fcdcdc68c34f.png

我们来验证一下。

在 cpulimited 起一个进程

sudo cgexec -g cpu:cpulimited ./main > /dev/null &

可以看到独占了 100% 的 CPU,在 cpulimited 再起一个进程

be300c0f7dbfaaef9478879670716dc2.png

两个进程都在 cpulimited,各占50%的 CPU。在 lesscpulimited 起一个进程

cadc1a96b30168a39a540804a49eaf71.png 
sudo cgexec -g cpu:lesscpulimited ./main > /dev/null &
6ee701da137b4d155b2617db3bafbd5d.png

两个 cpulimited 进程的 CPU 之和 与 一个 lesscpulimited 进程的 CPU 差不多就是 1:2的关系。

作者:vincent

链接:https://zhuanlan.zhihu.com/p/55099839

Linux学习指南
有收获,点个在看
开源Linux
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux namespace and cgroups
08-13
讲解linux namespacecgroups,非常好的学习资料,值得借鉴。
cgroups:Go的cgroups软件包
02-04
小组 Go软件包,用于创建,管理,检查和销毁cgroup。 cgroup上设置的资源格式使用的OCI运行时规范。例子创建一个新的cgroup 这将为/test下的所有子系统使用静态路径创建一个新的cgroup。 / sys / fs / cgroup / cpu ...
Linux NameSpace 与 Cgroup 系列学习
Zcoder`Blog
11-02 648
为了方便自己学习,我会将自己搜集的一些好的关于namespace和cgroup的文章统一列在这里,后续有新的内容后将会继续更新。这几篇虽然时间有点久,但比较系统、详细,建议先阅读学习,看完后收获很大。 namespace 包含了Linux目前常用的6个namespace的介绍 Linux Namespace系列(01):Namespace概述 Linux Namespace系列(02):U...
Docker容器系列(一)Linux内核Namespace和Cgroup浅析
97运维的博客
05-08 2089
Linux内核中六种Namespace解析,和Cgroup各层级结构关系以及测试试验
Linux】进程的隔离和控制:namespace 隔离、cgroup 控制
最新发布
m0_67470729的博客
05-04 1116
工具 dd、mkfs、df、mount、unshare、pidstat、stress 的使用 包括名称隔离的示例,控制组进行内存控制、cpu资源控制的示例
Linux容器:cgroup,namespace原理与实现
RToax
09-01 2147
转自 《容器三把斧之 | cgroup原理与实现》 《容器三把斧之 | namespace原理与实现》 目录 容器三把斧之 | cgroup原理与实现 cgroup结构体 cgroup_subsys_state结构体 css_set结构体 cgroup_subsys结构 CGroup的挂载 向CGroup添加要进行资源控制的进程 限制CGroup的资源使用 限制进程使用资源 容器三把斧之 | namespace原理与实现 namespace介绍 namespa...
linux namespace and cgroup
weixin_34364071的博客
11-20 220
namespace参考 coolshell.cn/articles/17… coolshell.cn/articles/17… www.infoq.com/cn/articles… www.ibm.com/developerwo… yeasy.gitbooks.io/docker_prac… coolshell.cn/articles/17… www.infoq.com/cn/articles...
cgroups java_容器底层原理之namespacecgroups
weixin_34875640的博客
02-16 294
1、NamespaceLinux内核中的namespace技术实现了各种资源的隔离。最新的 Linux 5.6 内核中提供了 8 种类型的 NamespaceNamespace 名称作用内核版本Mount(mnt)隔离挂载点2.4.19Process ID (pid)隔离进程 ID2.6.24Network (net)隔离网络设备,端口号等2.6.29Interprocess Communica...
Linux运维-运维课程MP4频-05容器-05容器涉及的内核技术-CGroups.mp4
05-31
Linux运维-运维课程MP4频-05容器-05容器涉及的内核技术-CGroups.mp4
容器技术-linux系统.pptx
11-24
容器技术是现代IT领域中的一个重要概念,它提供了一种轻量级的虚拟化方式,使得开发者可以将应用程序及其依赖环境打包成独立的单元,...无论是开发者还是运维人员,理解Linux容器技术中的角色和优势都是至关重要的。
sandbox:在 Linux 上使用 cgroups 和 Apparmor 对 ruby​​ 内容进行沙箱处理的原型
06-12
沙盒在 Linux 上使用 cgroups 和 Apparmor 对 ruby​​ 内容进行沙箱处理的原型。盒子所有库都捆绑在一起Apparmor 禁止网络,删除功能磁盘几乎是隐藏的,只有 ruby​​ 工具和代码可以读取。 UNIX 套接字是唯一可写...
linuxcgroups详解
yxkong的专栏
07-07 2084
引子最近在研究k8s,学习到容器的一些知识。了解到docker的核心原理:利用linux namespace 隔离资源;利用cgroups 限制资源的使用;利用chroot 改变进程的根目录到指定的目录;我来详细的了解cgroups。物理机是4C8G 首先看下操作的系统版本[root@dev215 ~]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) 基本概念Cgroups全称为:linux Control Group,crgro
Docker容器核心技术Linux命名空间Namespaces、控制组cgroups、联合文件系统UnionFS
Pistachiout的学习博客
05-30 1557
Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroup,namespace,以及 OverlayFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器
Linux中的cgroupsnamespace
魏波
07-08 688
1、可怜的容器,被Namespace欺骗,又被Cgroups限制,在这样的环境下还发挥着自己生命的意义,与应用程序同生共死。2、cgroups只限制资源上限,并不能否锁定下限,很容易被抢资源,所以需要kubernetes 来帮你做调度。3、Cgroup限制的是物理内存(内存分为虚拟内存和物理内存),限制虚拟内存的group要加memsw。 总结:容器的资源隔离(进程视图)是通过linux namespace实现(进程启动时指定namespace参数),容器的资源限制(cpu,memory大小等)是通过li
Docker与Linux之间的关系——NamespaceCgroups, 网络通信总结
奔跑的蜗牛的博客
12-11 2009
容器Linux 之间的那点关系,容器是如何实现四大特性的:安全性,隔离性,可配额,便携性的? 容器间网络是如何通信的? 为什么Docker 成为了最流行的容器技术? 本片文章对上边的问题进行了学习总结,与大家分享.
深入了解Linux命名空间中cgroups相关概念:打开容器技术的黑匣子
Lion_Long的博客
12-08 6171
在当今云计算和容器技术的兴起下,Linux命名空间和cgroups成为了容器技术的核心支撑。本文将深入探讨Linux命名空间和cgroups的原理和运行机制,解密这两项关键技术容器化领域的作用和影响。 一、cgroups概念。 二、cpu子系统:CFS、RT、示例。 其他子系统: cpuset子系统、 cpuacct子系统、 memory子系统、 blkio子系统、 devices子系统、 freezer子系统、 net_cls子系统、 net_prio子系统、 perf_event、 hugetlb。
Linux Namespace和Cgroup
weixin_34025051的博客
06-10 790
为了方便阅读,将自己写的所有关于namespace和cgroup的文章统一列在这里,希望对有需要的人有所帮助,后续有新的内容后将会更新这里的列表。 namespace 包含了Linux目前常用的6个namespace的介绍 Linux Namespace系列(01):Namespace概述 Linux Namespace系列(02):U...
Linux Namespace
牛牛码特的博客
06-13 215
Linux Namespace LXC所实现的隔离性主要是来自kernel的namespace, 其中pid, net, ipc, mnt, uts 等namespace将container的进程, 网络, 消息, 文件系统和hostname 隔离开。 pid namespace 之前提到用户的进程是lxc-start进程的子进程, 不同用户的进程就是通过pidnamespace隔离开的,且不同 namespace 中可以有相同PID。具有以下特征: 每个namespace中的pid是有自己的pid=1的进
容器核心技术Namespace与Cgroup
小男孩儿的博客
09-18 1608
Namespace(命名空间)技术是一种内核级别的特性,它允许将全局系统资源隔离成独立的视图,使得在不同 Namespace 中运行的进程看到的资源是不同的。这为容器技术提供了基础,使得多个进程或容器可以在同一台主机上独立运行而不会相互干扰。容器中的命名空间(Namespace)是一种用于隔离和分割不同容器之间和容器与主机操作系统之间资源的技术。命名空间是Linux内核提供的一种特性,容器技术(如Docker和Kubernetes)利用这些命名空间来实现容器的隔离和资源管理。
cgroupsnamespace面试
03-16
cgroupsnamespaceLinux操作系统中的两个重要的容器技术cgroups(control groups)是一种资源限制和分配的机制,可以限制进程组的资源使用,如CPU、内存、磁盘IO等。通过cgroups,可以将多个进程组织成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值