K8S cgroups详解

最新推荐文章于 2025-05-12 11:48:09 发布
最新推荐文章于 2025-05-12 11:48:09 发布
阅读量716 收藏 7
点赞数 14
分类专栏: # Kubernetes系列 文章标签: kubernetes 贪心算法 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ygq13572549874/article/details/147869292
版权

以下是 Kubernetes 中 cgroups(Control Groups) 的详细解析,涵盖其核心原理、在 Kubernetes 中的具体应用及实践操作:

一、cgroups 基础概念

1. 是什么?

  • cgroups 是 Linux 内核提供的 资源隔离与控制机制,用于限制、统计和监控进程组(如容器)的资源使用。

  • 可管理的资源类型:

    • CPU:分配核心数、时间片权重

    • 内存:限制最大使用量、Swap 控制

    • I/O:磁盘和网络带宽限制

    • 进程数:防止 fork bomb

    • 设备访问:限制特定设备使用

2. 核心组件
组件功能
Hierarchy树状层级结构,每个层级绑定一个或多个子系统(如 CPU、Memory)
Subsystem资源控制器(如 cpumemoryblkio),负责具体资源管理
Cgroup层级中的节点,包含一组进程及其资源限制规则
Task进程(线程),属于某个 cgroup,资源受其规则约束
3. cgroup v1 vs v2
特性cgroup v1cgroup v2
层级结构多层级,每个子系统独立单一层级,统一管理所有子系统
资源分配模型分散控制统一权重分配(如 cpu.weight
内存控制memory.limit_in_bytesmemory.max
兼容性广泛支持需较新内核(≥4.15)

二、Kubernetes 中的 cgroups 实现

1. 资源模型

Kubernetes 通过 Resource Requests/Limits 定义容器的资源需求,底层由容器运行时(如 containerd、Docker)转换为 cgroup 配置。

resources:
  requests:
    cpu: "500m"    # 0.5 CPU 核心
    memory: "1Gi"   # 1 GB 内存
  limits:
    cpu: "1"       # 1 CPU 核心
    memory: "2Gi"   # 内存硬限制
2. 核心子系统映射
Kubernetes 参数cgroup 子系统关键文件/参数
CPU Requestscpucpu.shares(权重)
CPU Limitscpucpu.cfs_period_us + cpu.cfs_quota_us
Memory Limitsmemorymemory.limit_in_bytes(v1)或 memory.max(v2)
HugePageshugetlbhugetlb.<size>.limit_in_bytes
Ephemeral Storageblkio(部分)通过 XFS 配额或 blkio.throttle 控制
3. cgroup 路径结构

容器 cgroup 路径示例(v1):

# 查看容器进程的 cgroup
$ cat /proc/<PID>/cgroup

# 示例输出:
12:memory:/kubepods/burstable/pod<UID>/<容器ID>
3:cpu,cpuacct:/kubepods/burstable/pod<UID>/<容器ID>

Kubernetes 层级命名规则:

/kubepods/[QoS-Class]/pod<Pod-UID>/<Container-ID>

  • QoS Classburstable(弹性)、besteffort(尽力而为)、guaranteed(保证)

三、实战操作:验证 cgroup 配置

1. 查看容器的 cgroup 限制

进入容器所在节点的 cgroup 目录(以内存为例):

# 查找容器对应的 cgroup 路径
$ CONTAINER_ID=$(docker ps | grep <容器名> | awk '{print $1}')
$ CGROUP_PATH=$(docker inspect $CONTAINER_ID | grep -i cgroup | grep memory | head -1 | cut -d'"' -f4)

# 查看内存限制
$ cat /sys/fs/cgroup/memory/$CGROUP_PATH/memory.limit_in_bytes
2147483648  # 2Gi
2. 动态调整 cgroup 参数(调试用)
# 临时修改 CPU 配额(慎用!)
echo 50000 > /sys/fs/cgroup/cpu/$CGROUP_PATH/cpu.cfs_quota_us  # 限制为 50ms/100ms 周期

四、Kubernetes 资源 QoS 与 cgroup

1. QoS 等级
QoS 级别条件cgroup 表现
Guaranteed所有容器设置 limits=requests高优先级,cpu.shares 根据 requests 分配,内存不足时最后被 OOMKill
Burstable至少一个容器设置 requests<limits 或未设置 limits中等优先级,资源超用时可能被限制或终止
BestEffort所有容器未设置 requests 和 limits最低优先级,资源紧张时优先被终止
2. OOM 处理机制

  • 当节点内存不足时,OOM Killer 按优先级终止容器:

    • BestEffort → 2. Burstable → 3. Guaranteed

  • 查看 OOM 事件:

    dmesg | grep -i "oom"
journalctl -k | grep -i "oom"

五、高级配置

1. 自定义 cgroup 驱动

Kubernetes 支持两种 cgroup 驱动:

  • cgroupfs:直接写入 cgroup 文件系统(默认)。

  • systemd:通过 systemd 管理 cgroup(需节点使用 systemd)。

配置 kubelet 使用 systemd 驱动:

--cgroup-driver=systemd
2. 设置 cgroup 根目录

调整 kubelet 参数:

--cgroup-root=/custom-cgroup
3. Reserved Resources

为系统进程预留资源,避免容器占用全部资源:

# kubelet 配置
apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
systemReserved:
  cpu: "500m"
  memory: "1Gi"

六、常见问题排查

1. 容器被 OOMKilled

  • 检查点

    kubectl describe pod <pod-name> | grep -i "OOM"
kubectl get events --field-selector=reason=OOMKilled

  • 解决:调整 spec.containers[].resources.limits.memory

2. CPU 节流(Throttling)

  • 检查点

    kubectl top pod --containers
cat /sys/fs/cgroup/cpu/$CGROUP_PATH/cpu.stat | grep nr_throttled

  • 解决:优化应用 CPU 使用或增加 limits.cpu

总结

  • 核心作用:Kubernetes 通过 cgroups 实现容器资源隔离,保障多租户环境稳定性。

  • 配置关键:合理设置 requests/limits,结合 QoS 策略优化资源分配。

  • 调试工具docker statskubectl top、直接查看 cgroup 文件系统。

K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 5146
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署的k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
Kubernetes_CGroup和Namespace(从Linux到Kubernetes)
毛毛的专栏
02-11 983
从Linux的cgroup配置到Kubernetes中的cgroup配置
k8s安装配置详解
qq_29769689的博客
05-31 2115
K8Sk8s功能自动装箱新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 k8s功能 自动装箱 ![自动装箱](https://img-blog.csdnimg.cn/20210531145649539.png) 新的改变
彻底搞懂 Kubernetes 中的 Cgroup
云原生实验室
07-19 3137
❝本文转自田飞雨的博客,原文:https://www.jianshu.com/p/dd7b6b6fe1a0,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yangcgroups 简介❝cgroups(是 control groups 的简写)是 Linux 内核的一个功能,用来限制、控制与分离一个进程组的资源(如 CPU、内存、磁盘输入输出等)...
k8s pod详解
m0_66372974的博客
05-28 1213
Pod是kubernetes中最小的资源管理组件,Pod也是最小化运行容器化应用的资源对象。一个Pod代表着集群中运行的一个进程。kubernetes中其他大多数组件都是围绕着Pod来进行支撑和扩展Pod功能的,例如,用于管理Pod运行的StatefulSet和Deployment等控制器对象,用于暴露Pod应用的Service和Ingress对象,为Pod提供存储的PersistentVolume存储资源对象等k8s集群中pod两种使用方式一个Pod中运行一个容器
k8s使用详解
weixin_42552572的博客
02-22 1295
克隆三台虚拟机 虚拟机克隆部分不再赘述,注意: 克隆后ifconfig查看网卡ens3x所对应的ip,进入/etc/sysconfig/network-scripts/ifcfg-ens32修改1、ip为对应的IP;2、BOOTPROTO=static (本文所述三台ip分别为:192.168.29.131、192.168.29.134、192.168.29.133,主机名对应为k8s-0、k8s-1、k8s-2) 环境准备 主机名解析 cat >> /etc/hosts <<
一文详解k8s体系架构知识
工匠精神coding,终生学习
03-28 1297
详解k8s体系架构从概念、架构、原理、到安装、使用、k8s命令、helm 、监控、yaml编写插件使用等
K8s技术栈详解
WziH_CSDN的博客
09-19 735
K8s技术栈详解
Kubernetesk8s 的基本使用指令
Allen . Liu
03-06 1449
今天分享如题: Kubernetes //// //// 最近更新缓慢由于工作太忙惹,忙里偷闲整理愿能与君共勉???? K8S对我来说是个新的技术栈,程序员就是需要一直充电???? 加油,一起进步???? 结构模型 k8s 是经典的一对多模型,有一个主要的管理节点master和许多的工作节点slaver。当然,k8s 也可以配置多个管理节点,拥有两个以上的管理节点被称为高可用。k8s 包括了许多的组件,每个组件都是单运行在一个docker容器中,然后通过自己规划的虚拟网络相互访问。你
云计算必备技能:Linux cgroup和Kubernetes Namespace详解
zgt_certificate的博客
06-12 1362
cgroup和Kubernetes中的namespace虽然都是用于资源隔离和管理,但它们的应用层级和具体实现有所不同。:两者都用于对资源的使用进行管理和控制,cgroup控制系统资源的分配和限制,namespace控制Kubernetes资源的组织和分配。Kubernetes的namespace是一种用于将集群中的资源(如pod、服务等)进行逻辑分组和隔离的机制。:cgroup和namespace都提供了一种资源隔离的机制,前者针对系统资源,后者针对Kubernetes资源。
k8s kubeadm部署安装详解
qq_51545656的博客
02-01 1761
enabled=1gpgcheck=0EOF:这个命令用于创建一个名为"kubernetes.repo"的文件,并将后续的内容写入该文件。
Docker、ECS 与 K8s 网段冲突:解决跨服务通信中的路由问题
weixin_43100952的博客
05-11 830
使用自定义网络子网,以确保不会与其他云服务、容器或集群的 IP 范围发生冲突。Docker 默认网段与 K8s Pod 网段冲突会导致容器间通信失败。通过和route -n等命令可以查看和排查网络配置。解决网段冲突的关键是:修改 Docker 默认网段,创建自定义网络,并调整容器的网络设置。通过 docker-compose.yml文件中的自定义网络配置,灵活调整容器的 IP 地址和网段,避免冲突。希望这篇文章能够帮助你理解并解决 Docker 与 K8s 跨 VPC 服务之间的网络冲突。
k8s术语之secret
weixin_63891022的博客
05-08 591
kubernetes中,还存在一种和ConfigMap非常类似的对象,称之为Secret对象。它主要用于存储敏感信息,例如密码、密钥、证书等等。首先使用base64对数据进行编码。实例:隐藏mysql密码。
K8S中构建双架构镜像-从零到成功
最新发布
少说多做
05-12 705
K8S中通过buildkit 构建多架构镜像,由于踩了很多坑,本篇文章希望给大家避坑。
k8s术语之Horizontal Pod Autoscaling
weixin_63891022的博客
05-08 411
应用的资源使用率通常都有高峰和低谷的时候,如何削峰填谷,提高整体的整体资源利用率,让service中的Pod个数自动调整呢?Horizontal Pod Autoscaling:使pod水平自动缩放。Horizontal Pod Autoscaling仅适用于Deployment和ReplicaSet,在v1版本中仅支持根据Pod的CPU利用率扩缩容,在v1alpha版本中,支持根据内存和用户自定义的metric扩缩容。如果你不想看下面的文字可以直接看下面的示例图,组件交互、组件的配置、命令示例。
k8s的节点是否能直接 curl Service 名称
干就完了!!!
05-11 426
若需让节点直接通过 Service 名称访问服务,需。,使其指向集群的 DNS 服务(如 CoreDNS)。如果不想配置 DNS,可以直接通过。DNS 解析成功后,节点可通过。在 Kubernetes 中,
k8s中ingress-nginx介绍
筱long的博客
05-11 814
Ingress是一种Kubernetes资源,用于将外部流量路由到Kubernetes集群内的服务。与NodePort相比,它提供了更高级别的路由功能和负载平衡,可以根据HTTP请求的路径、主机名、HTTP方法等来路由流量。可以说Ingress是为了弥补NodePort在流量路由方面的不足而生的。使用NodePort,只能将流量路由到一个具体的Service,并且必须使用Service的端口号来访问该服务。
K8S常见问题汇总
王一横的个人博客
05-08 822
要彻底不让 Pod 再运行在 master 节点上,你可以通过以下几种方式来实现。推荐使用的是 给 master 节点打 taint,并确保 Pod 不会设置容忍(toleration)去匹配这个 taint。有一个节点是 master,并且带有 taint node-role.kubernetes.io/master:NoSchedule,但 Pod 没有 toleration,所以不能调度过去。这条命令的意思是:不允许任何没有明确容忍该 taint 的 Pod 调度到 master 节点上。
k8s术语之CronJob
weixin_63891022的博客
05-08 448
spec.startingDeadlineSeconds :启动 Job 的期限(秒级别),该字段是可选的。如果因为任何原因而错过了被调度的时间,那么错过执行时间的 Job 将被认为是失败的。.spec.successfulJobsHistoryLimit 和 .spec.failedJobsHistoryLimit :历史限制,是可选的字段。它指定了如何处理被 Cron Job 创建的 Job 的并发执行。.spec.jobTemplate:Job模板,必需字段,直到需要运行的任务,格式同Job。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

alden_ygq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值