容器中的隔离与限制:namespace和cgroups

最新推荐文章于 2023-09-18 20:47:47 发布
最新推荐文章于 2023-09-18 20:47:47 发布
阅读量654 收藏 1
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjj2006/article/details/105004552
版权

      容器和虚机都可以运行在Linux操作系统上,他们的不同是虚机是一个靠硬件技术虚拟出来的一个真实的操作系统环境,里面包含了ghost os,而容器只是操作系统上的一个进程,它只是模拟了操作系统的环境,进行自我管理。

       在操作系统上安装一个虚机,虚拟机软件本身的运行就占用上百兆内存,它对宿主机的调用受制于虚拟机软件的限制,对操作系统的网络、io、cpu都有很大的浪费。而容器本身只是一个操作系统上的进程,它和其他进程一样,共享操作系统的内核,对资源的浪费可以忽略不计。所以高性能和敏捷性是容器的一个特性。

docker和虚拟机的对比见下图,下图来自docker官网。

       docker提供了一个工业级的容器标准,是一个轻量级的、安全的容器应用。

        但是没有了虚拟化软件的管理,多个容器运行在一个操作系统上,共用宿主机的ghost os,隔离和限制是一个问题,本文主要讲述docker容器的隔离和限制。docker利用操作系统的namespace做隔离,使用cgroups做资源限制。

       1.隔离

        Linux的namespace提供了一种资源隔离的手段,将整个操作系统的资源放在不同的namespace空间中,每个namespace空间的进程只能使用自己的资源,这样就实现了隔离的目的。Linuxti提供了的隔离包括:进程(pid)、文件系统挂载点(mount)、UTS(域名和主机名信息)、IPC(进程间通信)、network(网络资源)、user(用户和用户组)

我的专栏《docker安装rabbitmq》中一个例子,在执行docker启动rabbitmq

docker run -d --name rabbitmq3.8.2 -p 5672:5672 -p 15672:15672 -v `pwd`/data:/var/lib/rabbitmq --hostname myRabbit -e RABBITMQ_DEFAULT_VHOST=my_vhost  -e RABBITMQ_DEFAULT_USER=admin -e RABBITMQ_DEFAULT_PASS=admin --privileged=true a64a4ae7bc1f

之后进入容器

docker exec -it rabbitmq3.8.2 /bin/sh

执行ps命令,如下图:

可以看到,这个容器中有2个进程,一个是进入容器时的sh进程,宿主机上的其他进程是看不到的。sh这个进程是真实存在于宿主机上的,但是宿主机上pid不是513。容器中的这个进程是在调用宿主机上的clone创建进程时指定的,命令如下,传入一个clone_newpid参数,这样创建的进程就在一个新的namespace中,只能看到当前namespace中的进程。

int pid = clone(main_function, stack_size, CLONE_NEWPID | SIGCHLD, NULL);

       2.限制

        前面讲过,容器并不能像虚拟机那样完全模拟出一个ghost os,容器中的进程是在操作系统中是真实存在的,这些进程会跟操作系统上的其他进程共享系统的资源,这样肯定会有竞争。Linux的cgroups提供了一种资源限制的手段,它限制进程对操作系统资源的使用,包括cpu、内存、磁盘和网络。

       在Linux上执行如下命令,查看cgroup能限制的资源种类。

以CPU资源为例,如下图:

cpu.cfs_period_us和cpu.cfs_quota_us这2个参数,限制进程在cpu.cfs_period_us的时间内,可以有cpu.cfs_quota_us这么长时间的cpu使用权。比如kubepods.slice这个jinc进程,进去查看一下:

可见,CPU的使用并没有做限制。这样当前进程可能把宿主机的CPU跑满,我们可以在cpu.cfs_quota_us文件中写入一个数字,比如20000,这样,当前进程就只能使用20%的CPU时间。而这个限制在容器启动时就可以指定参数值。如下

docker run -itd --cpu-period=100000 --cpu-quota=20000 --name myredis -p 6379:6379 docker.io/redis

这样启动容器后,即使容器中的cup已经打满,也只占操作系统的20%

参数的配置写入操作系统下面的文件:

/sys/fs/cgroup/cpu/system.slice/docker-d37a4c6c5771370db7485f5244a42222cd8c6cdfb416b0399a076886713ec71f.scope目录下的cpu.cfs_period_us和cpu.cfs_quota_us

参考:

https://zhuanlan.zhihu.com/p/73248894

极客时间《深入剖析kubernetes》

君哥聊技术
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubernetes学习实践(二)-容器技术基础(隔离限制
rickey17的博客
08-31 343
Docker安装 Mac安装docker教程 https://www.runoob.com/docker/macos-docker-install.html 第一个容器 ➜ ~ docker run -it busybox /bin/sh / # -it 告诉docker项目在启动容器后,分配给我们一个文本输入/输出的环境,也就是tty,跟 容器的标准输入关联,这样我们就可以跟容器进行交互啦...
容器基础之三大基石】CgroupsNamespace、Rootfs 保障容器隔离性、一致性和高性能
叮当猫的喵i
02-07 1518
镜像(Image):Docker 镜像(Image),就相当于是一个 root 文件系统。比如官方镜像ubuntu:16.04就包含了完整的一套 Ubuntu16.04 最小系统的 root 文件系统。容器(Container):镜像(Image)和容器(Container)的关系,就像是面向对象程序设计的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。仓库(Repository):仓库可看成一个代码控制心,用来保存镜像。
容器核心技术之Namespace与Cgroup
最新发布
小男孩儿的博客
09-18 1187
Namespace命名空间)技术是一种内核级别的特性,它允许将全局系统资源隔离成独立的视图,使得在不同 Namespace 运行的进程看到的资源是不同的。这为容器化技术提供了基础,使得多个进程或容器可以在同一台主机上独立运行而不会相互干扰。容器命名空间Namespace)是一种用于隔离和分割不同容器之间和容器与主机操作系统之间资源的技术。命名空间是Linux内核提供的一种特性,容器技术(如Docker和Kubernetes)利用这些命名空间实现容器隔离资源管理。
Docker基础:Cgroup与Namespace
hay23455的博客
05-30 487
例如,我们可以设置Web服务器的Cgroup的CPU配额为50%,将数据库服务器的Cgroup的内存限制为2GB,将消息队列的Cgroup的磁盘I/O速度限制为100MB/s等。例如,在容器化技术,我们可以使用Namespace技术来实现容器内部的进程进行隔离和保护,从而实现容器环境的隔离和保护。资源限制:通过Cgroups技术,我们可以对进程组的资源使用进行限制,例如限制CPU使用率、内存使用量、磁盘I/O速度等,以避免某个进程组占用过多的资源而影响到其他进程组的正常运行。
【k8s学习笔记-容器概念入门(二)-隔离限制
Amelie123的博客
07-30 701
k8s学习笔记-容器概念入门(二)
Docker底层技术Namespace Cgroup应用详解
01-10
Namespace:是容器虚拟化的核心技术,用来隔离各个容器,可解决容器之间的冲突。 主要通过以下六项隔离技术来实现: 有两个伪文件系统:/proc和/sys/ UTS:允许每个container拥有独立的hostname(主机名)和...
详解Docker 容器使用 cgroups 限制资源使用
01-20
上一篇文章将到 Docker 容器使用 linux namespace隔离其运行环境,使得容器的进程看起来就像爱一个独立环境运行一样。但是,光有运行环境隔离还不够,因为这些进程还是可以不受限制使用系统资源,比如网络...
Docker镜像与容器存储结构分析
03-03
Docker是一个开源的应用容器引擎,主要利用Linux内核namespace实现沙盒隔离,用Cgroup实现资源限制。 Docker支持三种镜像层次的存储driver:aufs、devicemapper、Btrfs。广州Linux爱好者刁金明,通过一系列小实验对...
Docker基础知识之Linux namespace图文详解
01-11
Docker 是“新瓶装旧酒”的产物,依赖于 Linux 内核技术 chroot 、namespace 和 cgroup。本篇先来看 namespace 技术。 Docker 和虚拟机技术一样,从操作系统级上实现资源隔离,它本质上是宿主机上的进程(容器...
Kubernetes学习笔记二:NamespaceCgroups隔离与应用
个人博客
12-01 519
Kubernetes学习系列文章:Kubernetes-博客专栏 今天在学习极客时间专栏:《深入剖析Kubernetes》 第五讲05 | 白话容器基础(一):从进程说开去和第六讲06 | 白话容器基础(二):隔离限制提到了NamespaceCgroups。 对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是...
关于k8s的隔离namespace与cgroup
qq_43340814的博客
08-24 2768
容器技术一个非常重要的概念,容器是一个单进程模型。 用户的应用进程就是容器里面PID=1的进程,其他后续创建的进程都是这个进程的子进程,意味着你没法运行两个不同的应用,除非找到一个公共的PID=1的程序来充当两个不同程序的父进程。 关于两者关系 namesapce主要是隔离作用,cgroups主要是资源限制,联合文件主要用于镜像分层存储和管理,runC是运行时,遵循了oci接口,一般来说基于libcontainer。网络主要是docker单机网络和多主机通信模式。 namespace 是用来做资源隔离,
Kubernetes实战(二十八)-环境共享与隔离Namespace
专注基础架构领域
08-31 1734
Kubernetes使用命名空间的概念帮助解决集群在管理对象时的复杂性问题。命名空间允许将对象分组到一起,便于将它们作为一个单元进行筛选和控制。无论是应用自定义的访问控制策略,还是为了测试环境而分离所有组件,命名空间都是一个按照组来处理对象。 Namespace命名空间,主要有两个方面的作用: 资源隔离:可为不同的团队/用户(或项目)提供虚拟的集群空间,共享同一个Kubernetes集群的资源。比如可以为团队A创建一个Namespace ns-a,团队A的项目都部署运行在 ns-a ,团队B创建另
k8s之多方面多维度的资源隔离限制(namespace,LimitRange,ResourceQuota)
guijianchouxyz的博客
12-23 1874
首先我们能想到的资源隔离就是namespace,这不知道是不是大家的第一反应,反正我是的,,哈哈哈。当然还有好多可以配置资源限制以及配额的方法
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具,优缺点,核心技术
weixin_45697293的博客
04-26 593
文章目录什么是容器Docker 简介Docker 的组成Docker 对比虚拟机Linux Namespace 技术1. MNT Namespace2. IPC Namespace3. UTS Namespace4. PID Namespace5. Net Namespace:6. User NamespaceLinux control groups容器管理工具1. lxcdocker3. pouch:Docker 的优缺点docker(容器)的核心技术docker(容器)的依赖技术安装Docker 什么是
linux cgroup、kubernetes limit
qq_35679620的博客
01-11 566
linux cgroup、kubernetes limit Cgroups功能的实现依赖于四个核心概念:子系统、控制组、层级树、任务。 kubernets设置limit最终设置在了哪里
kubernetes学习(二) --------docker的基本命令,namespacecgroups
weixin_42681866的博客
11-07 441
答:容器本质上进程组,也就是单进程+其子进程是可控的,但并不是说容器里只有一个进程,比如我们还可以进入容器执行ping、netstat等命令形成额外进程,但这些进程并不是容器启动后控制运行的,能控制运行的有且只有一个。计算机本质上只认识0和1,代码编写的程序,就是二进制文件,也叫代码的可执行对象(executable image),当其执行时,操作系统接收到后,利用cpu+内存来实现程序的运行,其堆栈负责存储指令和变量,寄存器负责存储值,加上各类文件和IO设备,就运行了起来。
一文带你搞懂 Docker 容器的核心基石 Cgroups
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-31 264
Cgroups 是 Linux 系统内核提供的一种机制,这种机制可以根据需求将一些列系统任务机器子任务整合或分离到按资源划分登记的不同组内,从而为系统资源管理提供一个的框架。简单地说,cgroups 可以限制、记录任务组所使用的物理组员(比如 CPU、Memory、IO等),为容器实现虚拟化提供了基本保证,是构建 Docker 等一些列虚拟化管理工具的基石。今天我们就来详细介绍一下 cgroups...
彻底搞懂 Kubernetes 的 Cgroup
云原生实验室
07-19 2543
❝本文转自田飞雨的博客,原文:https://www.jianshu.com/p/dd7b6b6fe1a0,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yangcgroups 简介❝cgroups(是 control groups 的简写)是 Linux 内核的一个功能,用来限制、控制与分离一个进程组的资源(如 CPU、内存、磁盘输入输出等)...
Kubernetes进程 Namespace 技术 Cgroups 技术
qq_38304320的博客
11-17 700
容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个“边界”。 对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而Namespace 技术则是用来修改进程视图的主要方法。 1.Namespace 机制 假设你已经有了一个 Linux 操作系统上的 Docker 项目在运行,比如我的环境是 Centos 7 和 Docker CE 18.05。 1.首先创建一个容器,并运行 docker run -it busybox /bin/sh .
容器技术是一种利用Linux系统的Cgroup和Namespace实现资源隔离和控制的技术,容器本质是Linux系统的一个
07-10
容器技术利用 Linux 系统的 Cgroup 和 Namespace 功能来实现资源隔离和控制。Cgroup(Control Group)用于限制和管理进程组的资源使用,包括 CPU、内存、磁盘IO等。Namespace 则用于隔离进程的视图,使得每个容器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

君哥聊技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值