Docker原理补充:通过资源限制验证Cgroup

最新推荐文章于 2023-03-04 18:04:17 发布
最新推荐文章于 2023-03-04 18:04:17 发布
阅读量130 收藏
点赞数
文章标签: docker 云原生 kubernetes 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45898396/article/details/120771799
版权

Cgroup 全称Control Group,其作用是限制一个进程组对系统资源的使用上限,包括CPU 、内存、Block I/O等;将一组进程放在一个Cgroup中,通过给这个Cgroup分配指定的可用资源,达到控制这—组进程可用资源的目的;Docker在操作系统的 /sys/fs/cgroup/docker 路径下,为每个容器创建了一个用于资源限制的文件夹,该路径中所有的资源种类均可被cgroup限制。
①、内存限额
容器可使用的内存包括两部分:物理内存和swap分区,如果在启动容器时只指定 -m 的值而不指定–memory-swap 的值, 那么 --memory-swap 默认为 -m 的两倍。

# -m 设置内存的使用限额; --memory-swap 设置内存+swap分区的使用限额

[root@node ~]# docker run -m 200M --memory-swap=300M centos:7

注:容器必须处于运行中,可以在目录 /sys/fs/cgroup/memory/docker/docker_id/下的memory.limit_in_bytes 会显示该容器的内存限额。
使用progrium/stress工具对容器执行压力测试,来探讨内存限额的机制。
❶、使用progrium/stress工具测试内存在不超过限额(内存+swap)的情况下,内存使用的工作机理是:通过给容器分配内存、容器使用、然后释放内存,然后一直循环这个过程;

# --vm 指定启动内存工作线程的个数;--vm-bytes 指定为每个线程分配的内存数

[root@node ~]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 250M
...
stress: dbug: [8] allocating 262144000 bytes ... #分配内存
stress: dbug: [8] touching bytes in strides of 4096 bytes ...
stress: dbug: [8] freed 262144000 bytes  #释放内存
stress: dbug: [8] allocating 262144000 bytes ... #再次分配内存
stress: dbug: [8] touching bytes in strides of 4096 bytes ..
stress: dbug: [8] freed 262144000 bytes  #再次释放内存

❷、使用progrium/stress工具测试内存在超过限额(内存+swap)的情况下,容器直接无法启动而退出

[root@node ~]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 350M

...
stress: FAIL: [1] (422) kill error: No such process
stress: FAIL: [1] (452) failed run completed in 0s

②、CPU份额
默认设置下,所有容器可以平等地使用host CPU 资源并且没有限制;设置的cpu shares 并不是CPU 资源的绝对数量,而是一个相对的权重值;

# -c和--cpu-shares参数一样,都是为容器指定CPU的份额
[root@node ~]# docker run --name container_a -c 1024 centos:7
[root@node ~]# docker run --name container_b --cpu-shares 512 centos:7

注:容器必须处于运行中,可以在目录 /sys/fs/cgroup/memory/docker/docker_id/下的cpu_shares 会显示该容器的CPU份额。
在发生CPU资源抢占的情况下,某个容器最终能分配到的CPU 资源取决于它的cpu share 占所有容器cpu share 总和的比例。
使用progrium/stress工具对容器执行压力测试,来探讨CPU限额的机制。
❶、使用progrium/stress镜像运行两个容器Container_A和Container_B,CPU份额分别设置为1024和512(CPU分配比是2:1)

[root@node ~]# lscpu | grep 'CPU(s)'

CPU(s):                2   #本机有2颗CPU

# --cpu是用来设置工作线程的数量,当前host有2颗CPU,需要2个工作线程来占用CPU资源

[root@node ~]# docker run -d -c 1024 --name Container_A progrium/stress --cpu 2

[root@node ~]# docker run -d -c 512 --name Container_B progrium/stress --cpu 2

❷、使用top查看系统资源使用情况可以看到:在%CPU中呈现出使用分配比为2:1的情况(Container_A分配到的资源是Container_B的两倍),因为是2颗CPU,所以每颗CPU都是按照2:1的比例去分配的。

[root@node ~]# top

...
PID USER      PR  NI    ...SHR S  %CPU %MEM     TIME+ COMMAND   
7167 root      20   0    ...0 R  64.8  0.0   2:56.89 /usr/bin/stress
7164 root      20   0    ...0 R  64.5  0.0   2:56.14 /usr/bin/stress
7416 root      20   0    ...0 R  36.9  0.0   1:10.96 /usr/bin/stress
7417 root      20   0    ...0 R  32.6  0.0   1:11.09 /usr/bin/stress

❸、此时停止Container_A可以看到:运行中的Container_B会独占2颗CPU资源,因为此时并没有发生资源抢占的情况。

[root@node ~]# docker stop  Container_A
Container_A
[root@node ~]# top
...   
PID USER      ...SHR S  %CPU %MEM     TIME+ COMMAND  
7416 root      ...96      0 R  99.7  0.0   3:14.73 stress  
7417 root      ...96      0 R  99.0  0.0   3:15.13 stress

③、Block IO带宽限制
Block IO 指的是磁盘的读写, docker 可通过设置权重weight、限制bps 和iops 的方式控制容器读写磁盘的带宽。
(1).权重weight
默认情况下,所有容器能平等地读写磁盘,可以通过设置–blkio-weight 参数来改变容器block IO 的优先级;–blkio-weight 与–cpu-shares 类似,设置的是相对权重值,默认为500。
(2).限制bps和iops
bps 是 byte per second,每秒读写的数据量,通过 --device-read-bps / --device-write-bps 来限制设备的bps;
iops 是 io per second,每秒IO 的次数,通过 --device-read-iops / --device-write-iops 来限制设备的iops。
❶、验证带宽限制:运行一个base镜像,在没有进行IO带宽限制的情况下是239 MB/s

[root@node ~]# docker run -it centos:7  
[root@231682cd2622 /]# dd if=/dev/zero of=test.out bs=1M count=100
100+0 records in
100+0 records out
104857600 bytes (105 MB) copied, 0.438719 s, 239 MB/s

❷、将写IO限制在30M的情况下是30MB/s,注意在容器内部写IO的时候必须添加上oflag=direct参数这样–device-write-bps 才能生效。
注:查看容器使用的磁盘sda,所以限制参数只能限制到 /dev/sda上。

[root@node ~]# docker run -it --device-write-bps /dev/sda:30M centos:7 

[root@f8163e8c0552 /]# lsblk  #查看容器使用的磁盘sda
...
sda      8:0    0  100G  0 disk 
|-sda1   8:1    0    1G  0 part 
`-sda2   8:2    0   99G  0 part
[root@f8163e8c0552 /]# dd if=/dev/zero of=test.out bs=1M count=100 
100+0 records in
100+0 records out
104857600 bytes (105 MB) copied, 0.412428 s, 254 MB/s

[root@f8163e8c0552 /]# dd if=/dev/zero of=test.out bs=1M count=100 oflag=direct  #添加该参数之后才能生效对bps的限制
100+0 records in
100+0 records out
104857600 bytes (105 MB) copied, 3.3218 s, 31.6 MB/s
KnockCloud
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Docker资源控制管理
qq_44870887的博客
10-13 343
文章目录一、CPU控制1、设置CPU使用率上限2、设置CPU资源占用比(设置多个容器时才有效)3、设置容器绑定指定的CPU二、对内存使用进行限制1、创建指定物理内存的容器2、创建指定物理内存和swap的容器3、 对磁盘IO配额控制(blkio)的限制4、清理docker占用的磁盘空间 一、CPU控制 cgroups,是一个非常强大的linux内核工具,他不仅可以限制被namespace隔离起来的资源, 还可以为资源设置权重、计算使用量、操控进程启停等等。所以cgroups (Control groups)
stress负载生成器使用简介
丁丁爸爸的技术博客
12-11 1759
一、Stress工具原始网页: https://people.seas.harvard.edu/~apw/stress/   二、Docker镜像的构建过程(dockerfile): progrium/stress镜像Dockerfile内容 :   FROM ubuntu:trusty MAINTAINER Jeff Lindsay <progrium@gmail.com...
Docker--(六)--Docker资源限制
最新发布
qq_47800859的博客
03-04 1887
前言 系统压力测试 Cpu资源限制 Mem资源限制 IO 资源限制【扩展】
一文带你彻底搞懂Docker中的cgroup
神技圈子的博客
11-26 1万+
前言 进程在系统中使用CPU、内存、磁盘等计算资源或者存储资源还是比较随心所欲的,我们希望对进程资源利用进行限制。这就要提到今天聊到的cgroup。 什么是cgroup Linux CGroup(Linux Contral Group),它其实是Linux内核的一个功能,它用来控制、限制一个进程组群的资源。最开始是由Google工程师Paul Menage和Rohit Seth于2006年发起的,最早起名叫进程容器。在2007之后随着容器得提出,为了避免混乱重命名为cgroup,并且被合并到了内核2.6.2
docker学习-docker容器运行
vecloud的博客
06-20 4139
docker run是启动容器的方法,可以用三种指定的方式指定容器启动时执行的命令。 (1)CMD指令 (2)ENTRYPOINT指令 (3)在docker run中命令行中指定 但是docker run并不能长期保持running状态,我们经常需要进入到容器中去做一些工作,比如查看日志、调试、启动其他进程等。有两种进入容器的方式:attach和exec。 docker attach首先启动一个容器,保持后台长期运行 docker run -d ubuntu /bin/bash -c "while true
docker_cgroup_info:获取 docker 容器的 cgroup 信息
06-14
Docker cgroup 信息不赞成这样做。用于检查 docker 容器的最小工具用法 usage: docker_info.py [-h] [--cgroup_name CGROUP_NAME] [--verbose VERBOSE] [--list LIST] [--url URL]一般安装 virtualenv env. env/bin/...
docker容器实战:原理、架构与应用pdf
02-15
docker容器实战:原理、架构与应用pdf,高清版,docker入门的良好书籍,供大家参考。只做了压缩,没有压缩密码。
docker cgroup 资源监控的详解
09-30
Docker Cgroup资源监控详解主要涉及对Docker容器资源管理与监控的技术细节,本文内容将详细阐述如何通过Cgroups实现对Docker容器资源使用限制和监控。 首先需要了解的是cgroup(control group)的概念。cgroup是...
docker-platform:所有语言的平台
05-23
采用docker-compose构建跨平台的服务容器 目前支持: php5.6~php7.2 nginx apache2 couchdb mongodb mysql mariadb redis memcache rabbitmq elasticsearch tomcat nexus3
docker-zulip:Zulip的Docker映像和配置
02-03
docker-zulip:Zulip的Docker映像和配置
k8s限制:对cgroup实现的验证
zhd930818的博客
03-31 4058
更多kubernetes文章:k8s专栏目录//获取存在的pods信息[root@seahigh001 kubernetes]# kubectl get podsNAME            READY     STATUS    RESTARTS   AGEtomcat-cm7mr    1/1       Running   0          1dtomcat2-p0141   1/1 ...
CGroup 限制CPU/内存等资源使用
haima1998的专栏
10-21 5419
转自:https://blog.csdn.net/kwame211/article/details/78730705 http://xiezhenye.com/2013/10/%E7%94%A8-cgroups-%E7%AE%A1%E7%90%86-cpu-%E8%B5%84%E6%BA%90.html CGroup 介绍 CGroup 是 Control Groups 的缩写,是 Linux...
Docker 8:Docker 资源(内存/CPU限制实验
学渣角鹿白的博客
02-26 6319
八:Docker 资源限制 【参考】 - Runtime options with Memory, CPUs, and GPUs 官方文档:https://docs.docker.com/config/containers/resource_constraints/ By default, a container has no resource constraints and can use as much of a given resource as the host’s kernel schedule
解决k8s节点问题/sys/fs/cgroup/memory/docker: no space left on device\““: unknown.
千年板蓝根
05-06 2431
当k8s的部分节点运行到一段时间后报错:/sys/fs/cgroup/memory/docker: no space left on device\"": unknown. docker的内存占满了,可能原因是SELINUX=是开启的状态 永久关闭解决办法: vi /etc/selinux/config,将SELINUX=enforcing改为SELINUX=disabled,然后保存退出 然后重启电脑 节点重新运行即可使用 当然这个是:智一面Gtalent运营工程师基础入门考核 如.
Docker(二十)-Docker容器CPU、memory资源限制
thlzjfefe的博客
09-26 720
背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源的功能。正如使用内核的 namespace 来做容器之间的隔离,docker 也是通过内核的 cgroups 来
启动container:failed to write 0 to memory.swappiness
卢舍那
11-06 885
问题描述 在部署fabric,peer节点实例化chaincode container时报错: Error response from daemon: OCI runtime create failed: container_linux.go:345: starting container process caused “process_linux.go:430: container init caused \”process_linux.go:396: setting cgroup config for
Docker 资源限制之 IO
顽石的专栏
11-01 6118
一、压测工具 通过 Linux dd 命令测试 二、IO 测试 Runtime constraints on resources 关于 IO 的限制 --blkio-weight=0 Block IO weight (relative weight) accepts a weight value between 10 and 1000. --blkio-w
修改linux资源限制参数命令,Linux下docker资源限制
weixin_34223354的博客
04-29 713
一、基础知识blkio: 这个subsystem可以为块设备设定输入/输出限制,比如物理驱动设备(包括磁盘、固态硬盘、USB等)。cpu: 这个subsystem使用调度程序控制task对CPU使用cpuacct: 这个subsystem自动生成cgroup中task对CPU资源使用情况的报告。cpuset: 这个subsystem可以为cgroup中的task分配独立的CPU(此处针对多处理...
Docker error : "/sys/fs/cgroup/memory/xxxx" "no space left on device"
热门推荐
IT灬驴
03-13 1万+
docker cgroup memory no space left on device 问题描述: 操作系统:centos7.3系统 在创建容器的时候发现报错: docker: Error response from daemon: oci runtime error: container_linux.go:265: starting container proces...
Docker技术解析:原理、Namespace与CGroup
在讲解Docker原理时,首先介绍了容器系统整体架构,它是一种轻量级的虚拟化技术,通过进程级别的资源隔离来实现。容器并不像虚拟机那样模拟整个操作系统,而是共享宿主机的操作系统内核,从而达到更高的运行效率。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

KnockCloud

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值