容器基础——Cgroups

最新推荐文章于 2022-07-27 22:21:11 发布
最新推荐文章于 2022-07-27 22:21:11 发布
阅读量220 收藏
点赞数
分类专栏: 容器相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42574365/article/details/109392715
版权

Cgroups 制造约束

Linux Cgroups 的全称是 Linux Control Group。它最主要的作用,就是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。

Cgroups 给用户暴露出来的操作接口是文件系统,即它以文件和目录的方式组织 在操作系统的 /sys/fs/cgroup 路径下。在系统中执行mount -t cgroup 可以看到如下结果:

cgourp

可以看到,在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫 子系统。这些都是我这台机器当前可以被 Cgroups 进行限制的资源种类。

进入每个目录下,可以看到每种资源具体可以被限制的方法,如CPU资源:

cpu

cgroup限制使用方法

在对应的子系统下面创建一个目录,比如,我们现在进入 /sys/fs/cgroup/cpu 目录下,创建目录mazi,这样实现了创建了一个控制组mazi,操作系统会自动在目录下生成一些关于CPU限制的资源限制文件。

在这里插入图片描述

可以编辑其中的tasks文件指定资源隔离进程号,相关的资源限制就会对该进程生效。

除 CPU 子系统外,Cgroups 的每一项子系统都有其独有的资源限制能力,比如:

  • blkio,为块设备设定I/O限制,一般用于磁盘等设备;
  • cpuset,为进程分配单独的 CPU 核和对应的内存节点;
  • memory,为进程设定内存使用的限制。

总结:

对于 容器项目来说,它们只需要在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录),然后在启动容器进程之后,把这个进程的 PID 填写到对应控制组的 tasks 文件中就可以了。

容器的本质是一种特殊的进程。

注: Mount Namespace 跟其他 Namespace 的使用略有不同的地方:它对容器进程视图的改变,一定是伴随着挂载操作(mount)才能生效。

对 Docker 项目来说,它最核心的原理实际上就是为待创建的用户进程:

  1. 启用 Linux Namespace 配置;

  2. 设置指定的 Cgroups 参数;

  3. 切换进程的根目录(Change Root)。(使用pivot_root或者chroot)

pivot_root和chroot的主要区别是: pivot_root主要是把整个系统切换到一个新的root目录,而移除对之前root文件系统的依赖,这样你就能够umount原先的root文件系统。而chroot是针对某个进程,而系统的其它部分依旧运行于老的root目录。

Hosea91
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
容器的核心:Cgroups
k8s 生态
09-22 410
这是本专栏的第二部分:容器篇,共 6 篇,帮助大家由浅入深的认识和掌握容器。前面,我为你介绍了容器生命周期和资源管理相关的内容,让你对容器有了更加灵活的控制。之后从进程的角度带你认识了容器的本质还是一组进程。本篇,我来为介绍容器的核心——cgroups。 什么是 cgroups 先引用一句 Wiki 上对 cgroups 的定义: cgroups,其名称源自控制组群(control ...
详解Docker 容器使用 cgroups 限制资源使用
09-30
本篇文章主要介绍了Docker 容器使用 cgroups 限制资源使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux容器核心技术之: Cgroups
开心就好的专栏
02-04 1828
文章目录Cgroups是什么?Cgroups中的三个组件cgroup 用于对进程分组, 分组后便于统一设置资源限制;subsystem 用于对资源做限制及监控;hierarchy三个组件的相互关系cgroup 文件系统(cgroupfs)介绍Cgroups使用示例在cgroup中添加和移动进程通过subsystem限制cgroup中进程的资源参考 Cgroups是什么? 查看linux man page: https://man7.org/linux/man-pages/man7/cgroups.7.htm
【云原生】一文带你搞懂Docker容器的核心基石Cgroups
dvlinker的技术专栏
07-27 2406
本文详细讲解Docker容器中的核心基石Cgroups
容器技术(cgroups和namespace)
qq_43840665的博客
05-13 870
容器技术与安全 1. 容器概述 定义 容器是 轻量级的操作系统虚拟化技术 可以让应用运行在一个资源隔离的环境中,容器共享宿主机的内核 但是提供用户空间隔离 特点 资源共享:容器之间共享同一个系统内核,同一个库文件可被多个容器使用 逻辑独立:每个容器包含一个独享的完整用户环境空间,不会影响其他容器 复用:当需要配置大量具有相同配置的操作系统时,应用程序运行所必需的组件打包成一个镜像可以复用 容器与虚拟机有相似的作用,都摆脱了对物理硬件的需求 允许我们更为高效地使用计算资源 从而提升能源效率与成
Docker容器基础(cGroups、namespace)(一)
fengy_jav的博客
01-10 460
标题Docker容器技术基础 进程 隔离与限制 容器技术的兴起起源于PaaS技术的普及,Docker项目对此具有里程碑式的意义,Docker项目通过容器镜像解决应用打包这个根本性难题。 接下来通过Linux操作系统层面的知识简要介绍一下Docker的实现 进程 容器其实就是一个沙盒技术,顾名思义,沙盒就像是集装箱,可以将我们的应用装起来的技术。这样,应用与应用之间,就因为有了边界而可以相互之间不干扰,这样被装进集装箱的应用就可以被随意的搬来搬去,而不受外界所影响。 说起来容易,但是实现起来可能就无从下手
cgroups:Go的cgroups软件包
02-04
小组 Go软件包,用于创建,管理,检查和销毁cgroup。 cgroup上设置的资源格式使用的OCI运行时规范。例子创建一个新的cgroup 这将为... shares := uint64 ( 100 )control , err := cgroups . New ( cgroups . V1 , cgrou
linux cgroups详细介绍
09-15
cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。这篇文章主要介绍了linux...
cgroups介绍
12-04
cgroups介绍 docker cgroups介绍 docker cgroups介绍 docker
docker原理(Namespace,Cgroups,Chroot)
qq_43037441的博客
02-12 1070
namespace主要实现资源的隔离(linux kernel > 3.8): Mount Namespace PID Namespace Net Namespace #网络设备,网络栈,端口等 IPC Namespace #信号量,消息队列和共享内存 UTS Namespace #主机名与域名 User Namespace Cgroups 限制物理资源(cpu,内存): Linux Cgroups(Linux Control Group),Linux内核中用来设置资源限制的一个重要功能, Cgrou
Docker安全(cgroups容器资源的控制)
kuangfeng的博客
04-06 250
Docker安全(cgroups容器资源的控制)
容器编排
weixin_42574365的博客
11-15 3532
容器编排 “编排”主要是指用户如何通过某些工具或者配置来完成一组虚拟机以及关联资源的定义、配置、创建、删除等工作,然后由云计算平台按照这些指定的逻辑来完成的过程。 容器编排指的就是够定义容器组织和管理规范的工具,典型的是 Docker 公司的 Compose+Swarm 组合,以及 Google 与 RedHat 公司共同主导的 Kubernetes 项目。 Docker 公司最后选择将开源项目与商业产品紧密绑定,打造了一个极 端封闭的技术生态。违背了 Docker 项目与开发者保持亲密关系的初衷。相比之下
容器基础——Namespace
weixin_42574365的博客
10-21 543
什么是容器容器其实是一种沙盒 技术。顾名思义,沙盒就是能够像一个集装箱一样,把应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰;而被装进集装箱的应用,也可以被方便地搬来搬去。 理解“边界” 实现边界的手段 1. 隔离—Namespace 修改进程视图 Namespace机制: 拿PID Namespace举个栗子: 操作系统都会给每一个进程分配一个进程编号PID,比如PID=100,可以理解为这个进程是操作系统中的第100个进程,Docker会把这个某个程序运行在一个容器
容器的存储
weixin_42574365的博客
11-06 480
挂载在容器根目录上、用来为容器进程提供隔离后执行环境的文件系统,就是所谓的“容器镜像”,它有一个更专业的名字:rootfs(根文件系统),是一个操作系统的所有文件和目录,并不包含内核。 由于 rootfs 里打包的不只是应用,而是整个操作系统的文件和目录,也就意味着,应用以及它 运行所需要的所有依赖,都被封装在了一起。这就赋予了容器所谓的一致性:无论在本地、云端,还是在一台任何地方的机器上,用户只需要解压打包好的容器镜像,那么这个应用运行所需要的完整的执行环境就被重现出来了。 Docker 在镜像的设计中,
K8S核心功能
weixin_42574365的博客
11-19 337
Kubernetes 项目最主要的设计思想是,从宏观的角度,以统一的方式来定义任务之间的各 种关系,并且为将来支持更多种类的关系留有余地。 在 Kubernetes 项目中所推崇的使用方法是: 首先,通过一个“编排对象”,比如 Pod、Job、CronJob 等,来描述你试图管理的应用; 然后,再为它定义一些“服务对象”,比如 Service、Secret、Horizontal Pod Autoscaler(自 动水平扩展器)等。这些对象,会负责具体的平台级功能。 这种使用方法,就是所谓的“声明式 API”
K8S理解之Pod
weixin_42574365的博客
12-25 170
Pod是 Kubernetes 项目中最小的 API 对象。 为什么需要Pod? 在 Borg 项目的开发和实践过程中,Google 公司的工程师们发现,他们部署的应用,往往都存在着类似于“进程和进程组”的关系。更具体地说,就是这些应用之间有着密切的协作关系,使得它们必须部署在同一台机器上。 容器间的紧密协作,我们可以称为“超亲密关系”。这些具有“超亲密关系”容器的典型特征包括但不限于:互相之间会发生直接的文件交换、使用 localhost 或者 Socket 文件进行本地通信、会发生非常频繁的远程调用、需
软考-考生常见操作说明-202405101400-纯图版.pdf
最新发布
05-14
软考官网--2024常见操作说明:包括如何绘制网络图、UML图、表格等 模拟作答系统是计算机技术与软件专业技术资格(水平)考试的电子化考试系统界面、作答过程的仿真系统,为各级别、各资格涉及输入和页面显示的部分题型提供体验性练习。
cgroups和namespace面试
03-16
cgroups和namespace是Linux操作系统中的两个重要的容器技术。 cgroups(control groups)是一种资源限制和分配的机制,可以限制进程组的资源使用,如CPU、内存、磁盘IO等。通过cgroups,可以将多个进程组织成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值