GPU和fuse设备

最新推荐文章于 2021-10-06 21:02:13 发布
最新推荐文章于 2021-10-06 21:02:13 发布
阅读量1.5k 收藏 2
点赞数 1
文章标签: k8s docker apparmor fuse gpu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y_chen_007/article/details/84889226
版权

如何在kubernetes容器中同时使用GPU和fuse设备

问题介绍

前段时间项目中碰到一个比较棘手的问题,同事在k8s平台上使用GPU做选练,训练数据存放在ceph对象共享存储中,为了方便我们使用了s3fs(https://github.com/s3fs-fuse/s3fs-fuse)来把对象存储挂载到容器本地文件系统中,这样训练代码就可以像访问本地文件系统一样。有时训练可以正常进行,但有时重起k8s任务后训练就会失败,报GPU访问错误。通过这篇文章分享下问题的解决思路,希望对其他朋友有帮助。

原因分析

简单分析发现创建k8s任务时只申请了一个GPU,但从tensorflow错误日志看到应用启动时检测到了4个GPU,进一步分析原因是使用s3fs挂载时设置了privileged=true权限,导致容器中可以访问整个host上的GPU,如果这些GPU都空闲着,训练不会出错,但是如果某些GPU已经被k8s分配给了其他的pod并且正在使用中,这样就会出现一些冲突或者显存不足的问题。

这个问题可以通过把对象存储里的东西挪到cephfs里,但是数据量太大,而且失去了在存储层面进行用户隔离的功能,或者调用S3 api直接访问对象,但这样对用户不友好,没有直接访问文件方便。有没有更好的办法?

解决方案

fuse简单介绍

fuse通过在user space运行一个daemon代理通过/dev/fuse这个虚拟设备和kernel打交道,从而使多种用户态文件系统在不改变kernel的前提下成为可能,比如sshfs, 或者本文中碰到的s3fs, /dev/fuse是在加载fuse内核后自动生成的

容器中使用fuse的正确方法

如果要在容器中挂在sshfs或者s3fs这样的文件系统,必须能访问主机的/dev/fuse设备,而且要能使用mount所涉及到的syscall。

一个比较简单的做法就是给容器privileged权限,这样的做法有很多弊端:

  • 违背了容器的安全隔离性原则,相当于容器可以访问主机kernel的所有功能,容器中运行的恶意代码可能导致整个主机出问题
  • 容器可以看到主机上的所有设备,比如GPU导致tensorflow这样的计算框架出错

docker借助于一些kernel内部的安全方案可以做到更细粒度的控制,比如apparmor, selinux, seccomp, linux capability 具体要看主机系统是哪个linux发行版,以及kernel配置中是否启用了对应的功能(grep -i armor /boot/config-‘uname -r’), 具体可以查看相应的功能介绍,这里不详细展开。 通过这些kernel自带的功能可以做到非privileged访问/dev/fuse设备:

  • 在ubuntu运行如下命令
docker run -it --rm --device /dev/fuse --security-opt apparmor:unconfined --cap-add SYS_ADMIN image-registry:5000/ubuntu:16.04-sshfs /bin/bash

通过aa-status可以看到系统中定义的profile,以及profile是enforce还是complain模式, profile中定义可以使用哪些功能,比如网络访问,capability,mount,对文件的读写访问权限。
docker daemon启动时会创建缺省的docker-default profile,如果不特别指定会使用这个profile,使用apparmor:unconfined表示禁用该限制功能。

  • RHEL, CentOS运行如下命令
docker run -it --rm --device /dev/fuse --security-opt seccomp:unconfined --cap-add SYS_ADMIN image-registry:5000/ubuntu:16.04-sshfs /bin/bash

注意rhel上可能还会用到selinux,也可以做一些类似的设置。--device /dev/fuse就是说把host上的/dev/fuse设备挂载到容器中,--cap-add SYS_ADMIN允许容器中运行的进程执行系统管理任务,如挂载/卸载文件系统,设置磁盘配额,开/关交换设备和文件等。

在k8s容器中使用fuse设备

通过前面的介绍我们大致已经能想到问题的解决思路:

  • 把/dev/fuse设备注入到容器
  • 给容器分配尽可能少的权限,比如可以执行mount命令挂载文件系统,避免使用privileged访问到所有的GPU

但是因为k8s做了一层转化,事情没有想象的直接,下面分别作介绍

/dev/fuse注入到容器

docker提供了--device选项做到这个功能,但是查遍了k8s的文档,在网上也搜了一圈没有发现,这里还要提一下我们之前的一个错误做法:

    volumeMounts:
    - mountPath: /dev/fuse
      name: fuse
 ...
  volumes:
  - hostPath:
      path: /dev/fuse
      type: File/CharDevice
    name: fuse

其实这样是不生效的,真正在后台起作用的是设置的privileged.

后来联想到GPU是如何借助device-plugin功能不需要超级权限挂载到容器中的k8s中的,虽然GPU是通过设置环境变量NVIDIA_VISIBLE_DEVICES,然后nvidia-docker做了些特殊处理,和我们的情况不完全一样,但是从k8s代码看接口中确实提供了另一个选项可以直接设置pluginapi.DeviceRuntimeSpec结构的Device字段,抱着试试的想法,大功告成。

具体做法就是开发了一个device plugin并以daemonset的形式部署在每个节点上,plugin会向kubelet注册所提供的资源类型,这里的资源定义为github.com/fuse

deviceplugin kubelet apiserver scheduler 我代理fuse资源 我有fuse资源 同步 schedule r获得所有资源类 型以及在哪儿的信 息,根据资源请求 调度pod到对应 的节点 调度到对应的节点 allocate response DeviceRuntimeSpec kubelet根据Devic eRuntimeSpec把/ dev/fuse挂载到容器中 deviceplugin kubelet apiserver scheduler

实现代码已上传到https://github.com/JasonChenY/fuse-device-plugin

在容器中已普通权限作挂载文件系统

Ubuntu

从k8s官方文档可以看到通过注解annotations: container.apparmor.security.beta.kubernetes.io可以控制使用哪个apparmor profile, 但是模仿docker尝试设置unconfined时报invalid,查了K8s代码发现只支持localhost/xxxruntime/default这两种模式,不支持unconfined, 尝试了打开PodSecurityPolicy admission-controller后放弃,最后采用的办法是docker-default的基础上创建一个新的profile

cat /etc/apparmor.d/docker | sed 's/deny mount/# deny mount/' | sed 's/profile docker-default/profile docker-fuse/' > /etc/apparmor.d/docker-fuse
apparmor_parser -a /etc/apparmor.d/docker-fuse

创建k8s对象时就设置

container.apparmor.security.beta.kubernetes.io/<container name>: localhost/docker-fuse

结合前面已经挂载的fuse设备就可以挂载文件系统了

mkdir /mnt/test
sshfs -o allow_other root@10.0.0.62:/root /mnt/test
RHEL, CentOS

SeLinux基于用户-角色-类型这个模型来运作的,类型系统是它的核心,可以做到非常细粒度的安全控制,f但是配置偏复杂,弄得不好会把IT自己搞死,所以一般都处于关闭状态,除非核心的关键服务器,这里不展开。

seccomp通过配置文件来限定可以使用哪些系统调用,docker也有个默认的docker/default,禁用了300多个系统调用里的40多个,确保容器里运行的进程不会对宿主系统产生安全威胁。

首先可以确认系统是否支持该功能

$ grep CONFIG_SECCOMP= /boot/config-$(uname -r)
CONFIG_SECCOMP=y

  • 如果不支持,容器就可以随心所欲了?记住文章开始提到的capability,命名空间的隔离, docker缺省限制很多capability, 比如使用raw socket, 加载内核模块,重起机器等等, 处处把关 。

  • 如果支持,那还要看k8s的行为,到目前为止(1.12版本),seccomp还处于alpha状态,缺省是用unconfined配置, 也就是说不对k8s容器启用任何seccomp配置,等同于上面不支持的效果。

  • 如果想通过seccomp做一些定制的细粒度控制,那要启用PodSecurityPolicy admissionController并设置seccomp.security.alpha.kubernetes.io/allowedProfileNames, 官方文档里说支持docker/default, unconfined, localhost/ , 或者*这些格式。 其中path是kubelet的启动参数seccomp-profile-root指定的目录下的文件名,在对应的文件里设置想限制容器做哪些系统调用。
    最后在yaml文件里设置对应的profile 

container.seccomp.security.beta.kubernetes.io/<container name>: localhost/<path>

我们的平台属于第二种情况用unconfined, seccomp没生效,所以直接使用fuse-device-plugin就成功了,也没有对第三点作实际验证,若有错误勿拍。

y_chen_007
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
kubernetes存储详解
胡伟煌的博客
09-01 4890
1. Volumes 1.1. volume概述 容器上的文件生命周期同容器的生命周期一致,即容器挂掉之后,容器将会以最初镜像中的文件系统内容启动,之前容器运行时产生的文件将会丢失。 Pod的volume的生命周期同Pod的生命周期一致,当Pod被删除的时候,对应的volume才会被删除。即Pod中的容器重启时,之前的文件仍可以保存。 容器中的进程看到的是由其 Docker 镜像和卷...
K8S使用Ceph做持久化存储
weixin_34318326的博客
10-28 340
一、概述 Cephfs 是一个基于 ceph 集群且兼容POSIX标准的文件系统。创建 cephfs 文件系统时需要在 ceph 集群中添加 mds 服务,该服务负责处理 POSIX 文件系统中的 metadata 部分,实际的数据部分交由 ceph 集群中的 OSDs 处理。cephfs 支持以内核模块方式加载也支持 fuse 方式加载。无论是内核模式还是 fuse 模式,都是通过调用 libc...
fuse用户空间文件系统
zhuangshu_feng'‘每天进步一点点
02-25 4055
用户空间的文件系统(FUSE),无需理解文件系统的内幕,也不用学习内核模块编程的知识,就可以开发用户空间的文件系统框架。在用户空间的文件系统出现之前,文件系统的开发曾是内核开发人员的工作。创建文件系统需要了解内核编程和内核技术(例如 vfs)方面的知识。调试则需要 C 和 C++ 方面的专业技能。使用 FUSE 您可以开发功能完备的文件系统:其具有简单的 API 库,可以被非特权用户访问,并可以安
k8s之StatefulSet详解
热门推荐
最美dee时光的博客
05-11 6万+
本篇是基于k8s-v1.15.0版本。 1、介绍 RC、Deployment、DaemonSet都是面向无状态的服务,它们所管理的Pod的IP、名字,启停顺序等都是随机的,而StatefulSet是什么?顾名思义,有状态的集合,管理所有有状态的服务,比如MySQL、MongoDB集群等。 StatefulSet本质上是Deployment的一种变体,在v1.9版本中已成为GA版本,它为了解决有状态服务的问题,它所管理的Pod拥有固定的Pod名称,启停顺序,在StatefulSet中,Pod名字称为网络标识
fuse和ntfs-3g.rar
06-15
标题中的“fuse和ntfs-3g.rar”指的是在Ubuntu Linux操作系统中挂载NTFS文件系统的两个关键组件:FUSE(Filesystem in Userspace)框架和ntfs-3g驱动程序。这个压缩包可能包含了安装和配置这两个工具所需的文件。 ...
Linux-fuse-2.7.4.版本
最新发布
08-19
Linux FUSE(Filesystem in Userspace)是一种在Linux操作系统中实现自定义文件系统的机制,它允许用户在用户空间创建和管理文件系统,而无需修改内核代码。FUSE的出现极大地降低了开发新文件系统的技术门槛,使得...
FUSE文件系统展示示例
11-11
FUSE文件系统参考
Fuse设计选型详解(个人总结)
11-25
Fuse,即熔断器,是一种用于保护电路免受过电流损害的设备。在本文中,我们将深入探讨Fuse的基础知识,分类,以及选型时的重要参数。 首先,让我们了解Fuse的基本结构。熔体是Fuse的核心部分,由金属材料制成,当...
sd_fuse.rar
12-05
标题 "sd_fuse.rar" 暗示了这个压缩包包含与三星SBC(System-on-Chip)4412相关的固件烧录工具和资料,特别是与SD卡启动相关的部分。描述中提到的"移植uboot"是指将U-Boot引导加载程序适配到4412平台的过程,而"bl1...
vulkan-filesystem-1.1.97.0-1.el7.noarch.rpm
12-23
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
kubefuse:Kubernetes作为FUSE文件系统
05-03
保险丝 Kubernetes作为文件系统 为什么? 因为kubectl很棒,但有时导航有些慢。 输入KubeFuse。 Beta质量软件,可快速浏览和编辑Kubernetes。 不去爱的种种。 特征 浏览文件系统中的Kubernetes资源... ...使用(某些)您最喜欢的工具: ls , find , cat , vim ,... 列出所有喜欢的资源,例如:服务,复制控制器,pod和名称空间。 支持所有v1.3以下的实体类型。 以文件形式访问资源描述(例如cat ~/kubernetes/default/pod/postgres-aazm1/describe ) 以YAML或JSON的形式快速读取资源(例如cat ~/kubernetes/default/pod/postgres-aazm1/json ) 使用您选择的编辑器编辑资源,并让Kubernetes在写入时进
Centos7下Kubernetes配置使用GlusterFS
bobpen的专栏
01-09 1180
操作环境 网络拓扑 环境说明: OS: CentOS Linux release 7.4.1708 docker: Client: Version: 1.12.6 API version: 1.24 Package version: docker-1.12.6-68.gitec8512b.el7.centos.x86_
device-plugin组件原理介绍
特立独行的毛毛虫的博客
10-06 2347
一:device-plugin能做什么: 在k8s中使用gpu资源和设备过程中想到如下几个问题: 1.如何在不修改k8s任何组件的情况下引入除cpu,memory外的第三方资源 2.kubelet在创建docker的时候如何让docker使用到node的gpu资源。 3.k8s在调度任务的时候如何识别到第三方资源(上层调度器如何看到底层资源和设备)。 针对引入第三方资源的问题,社区给出了解决方案:community/device-plugin.md at master · kubernetes/c
深入浅出kubernetes之device-plugins
weixin_42663840的博客
07-30 1万+
  记得大学刚毕业那年看了侯俊杰的《深入浅出MFC》,就对深入浅出这四个字特别偏好,并且成为了自己对技术的要求标准——对于技术的理解要足够的深刻以至于可以用很浅显的道理给别人讲明白。以下内容为个人见解,如有雷同,纯属巧合,如有错误,烦请指正。 本文基于kubernetes1.11版本,后续会根据kubernetes版本更新及时更新文档,所有代码引用为了简洁都去掉了日志打印相关的代码,尽量只保留...
linux fuse安装脚本,Linux FUSE(用户态文件系统)的使用:用libfuse创建FUSE文件系统...
weixin_36444022的博客
04-30 1756
说明FUSE 是Linux Kernel的特性之一:一个用户态文件系统框架,a userspace filesystem framework。 形象的说就是可以在用户态运行一个程序,这个程序暴露出一个FUSE文件系统,对这个文件系统进行的读写操作都会被转给用户态的程序处理。FUSE由内核模块 fuse.ko 和用户空间的动态链接库 libfuse.* 组成,如果要开发使用fuse的用户态程序,需要...
用户空间文件系统(FUSE)
HULK一线技术杂谈
10-21 2852
女主宣言今天小编为大家分享用户空间文件系统FUSE,文章从FUSE的架构,分析了各个部分的原理,并结合小编自身的使用,对FUSE进行了建议性的优化,希望能对大家有所帮助。PS:丰富的一线...
k8s技术预研13--kubernetes共享存储原理与动态存储供应用使用示例
watermelonbig的专栏
07-03 3217
1、共享存储机制概述Kubernetes对于有状态的容器应用或者对于数据需要持久化的应用,不仅需要将容器内的目录挂载到宿主机的目录或者emptyDir临时存储卷,而且需要更加可靠的存储来保存应用产生的重要数据,以便容器应用在重建之后,仍然可以使用之前的数据。不过,存储资源和计算资源的管理方式完全不同。为了能够屏蔽底层存储实现细节,让用户方便使用,同时能让管理员方便管理,k8s从v1.0版本就引入了...
fuse conv 和 bn
03-25
都是深度学习中常用的层,它们有什么区别和作用? Fuse Conv指的是融合卷积层,其实就是将多个卷积核进行组合。这样做有利于减少参数量,提高计算效率。而BN(Batch Normalization)则是批归一化,一种用于对深度神经网络中每层输入进行标准化处理的方法。通过这种方法,可以加速网络收敛速度,提高模型的泛化能力。虽然两者都与卷积神经网络有关,但其作用和实现方式完全不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值