Linux Kernel Cgroups源码浅析

最新推荐文章于 2025-06-13 11:11:46 发布
原创 最新推荐文章于 2025-06-13 11:11:46 发布 · 1.8w 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux kernel #cgroups #源码

本文详细介绍了Linux内核的Cgroups机制,包括其功能、基本概念、层级结构、子系统和源码分析。Cgroups用于限制、记录和隔离进程组的资源使用,如CPU、内存、IO等。文章还探讨了Cgroups与任务的关联、与子系统的交互,以及各个典型子系统的功能,如blkio、cpu、cpuacct等。通过对内核源码的解读,解析了Cgroups如何实现资源控制和任务管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文是我几个月前在研究linux kernel Cgroups时整理的。文中大部分的理论知识是从网上各种贴子solo的,源码分析部分,我是基于kernel 4.4.19的代码进行解读分析的,各个内核版本之间应该几乎没啥差别。了解内核中Cgroups的知识,对理解docker底层原理还是有帮助的。

介绍

Cgroups是control groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO等等)的机制。

Cgroups的功能

  • 限制进程组可以使用的资源数量(Resource limiting )。比如:memory子系统可以为进程组设定一个memory使用上限,一旦进程组使用的内存达到限额再申请内存,就会出发OOM(out of memory)。
  • 进程组的优先级控制(Prioritization )。比如:可以使用cpu子系统为某个进程组分配特定cpu share。
  • 记录进程组使用的资源数量(Accounting )。比如:可以使用cpuacct子系统记录某个进程组使用的cpu时间。
  • 进程组隔离(Isolation)。比如:使用ns子系统可以使不同的进程组使用不同的namespace,以达到隔离的目的,不同的进程组有各自的进程、网络、文件系统挂载空间。
  • 进程组控制(Control)。比如:使用freezer子系统可以将进程组挂起和恢复。

基本概念:

  • 任务(task)。在cgroups中,任务就是系统的一个进程。
    控制族群(control group)。
  • 控制族群就是一组按照某种标准划分的进程。Cgroups中的资源控制都是以控制族群为单位实现。一个进程可以加入到某个控制族群,也从一个进程组迁移到另一个控制族群。一个进程组的进程可以使用cgroups以控制族群为单位分配的资源,同时受到cgroups以控制族群为单位设定的限制。
  • 层级(hierarchy)。控制族群可以组织成hierarchical的形式,既一颗控制族群树。控制族群树上的子节点控制族群是父节点控制族群的孩子,继承父控制族群的特定的属性。
  • 子系统(subsytem)。一个子系统就是一个资源控制器,比如cpu子系统就是控制cpu时间分配的一个控制器。子系统必须附加(attach)到一个层级上才能起作用,一个子系统附加到某个层级以后,这个层级上的所有控制族群都受到这个子系统的控制。

Rules

  1. 一个hierarchy可以有多个 subsystem (mount 的时候hierarchy可以attach多个subsystem)
    这里写图片描述
  2. 一个已经被挂载的 subsystem 只能被再次挂载在一个空的 hierarchy 上 (已经mount一个subsystem的hierarchy不能挂载一个已经被其它hierarchy挂载的subsystem)。
    这里写图片描述
  3. 每个task只能在一同个hierarchy的唯一一个cgroup里(不能在同一个hierarchy下有超过一个cgroup的tasks里同时有这个进程的pid)。
    这里写图片描述
  4. 子进程在被fork出时自动继承父进程所在cgroup,但是fork之后就可以按需调整到其他cgroup。
    这里写图片描述
  5. 其他
    • 限制一个task的唯一方法就是将其加入到一个cgroup的task里。
    • 多个subsystem可以挂载到一个hierarchy里, 然后通过不同的cgroup中的subsystem参数来对不同的task进行限额。
    • 如果一个hierarchy有太多subsystem,可以考虑重构 - 将subsystem挂到独立的hierarchy; 相应的, 可以将多个hierarchy合并成一个hierarchy。
    • 因为可以只挂载少量subsystem, 可以实现只对task单个方面的限额; 同时一个task可以被加到多个hierarchy中,从而实现对多个资源的控制。

Cgroups层级结构

这里写图片描述
上图中的”M×N Linkage”说明的是css_set通过辅助数据结构可以与 cgroups 节点进行多对多的关联。但是 cgroups 的实现不允许css_set同时关联同一个cgroups层级结构下多个节点。 这是因为 cgroups 对同一种资源不允许有多个限制配置。
一个css_set关联多个 cgroups 层级结构的节点时,表明需要对当前css_set下的进程进行多种资源的控制。而一个 cgroups 节点关联多个css_set时,表明多个css_set下的进程列表受到同一份资源的相同限制。

典型的Cgroups子系统介绍

  • blkio – 这个子系统为块设备设定输入/输出限制,比如物理设备(磁盘,固态硬盘,USB 等等)。
  • cpu – 这个子系统使用调度程序提供对 CPU 的 cgroup 任务访问。
  • cpuacct – 这个子系统自动生成 cgroup 中任务所使用的 CPU 报告。
  • cpuset – 这个子系统为 cgroup 中的任务分配独立 CPU(在多核系统)和内存节点。
  • devices – 这个子系统可允许或者拒绝 cgroup 中的任务访问设备。
  • freezer – 这个子系统挂起或者恢复 cgroup 中的任务。
  • memory – 这个子系统设定 cgroup 中任务使用的内存限制,并自动生成由那些任务使用的内存资源报告。
  • net_cls – 这个子系统使用等级识别符(classid)标记网络数据包,可允许 Linux 流量控制程序(tc)识别从具体 cgroup 中生成的数据包。
  • ns – 名称空间子系统。

源码分析

如同namespace一样,线程Task的结构体struct task_struct中,必定有cgroups信息:

linux-4.4.19/include/linux/sched.h #1668

struct task_struct 
{
    // ...

    #ifdef CONFIG_CGROUPS

    /* Control Group info protected by css_set_lock */

    struct css_set __rcu *cgroups;

    /* cg_list protected by css_set_lock and tsk->alloc_lock */

    struct list_head cg_list; 

    #endif

    // ...
}

RCU(Read-Copy Update)是一种linux内核中一种锁机制,顾名思义就是读-拷贝修改,它是基于其原理命名的。对于被RCU保护的共享数据结构,读者不需要获得任何锁就可以访问它,但写者在访问它时首先拷贝一个副本,然后对副本进行修改,最后使用一个回调(callback)机制在适当的时机把指向原来数据的指针重新指向新的被修改的数据。这个时机就是所有引用该数据的CPU都退出对共享数据的操作。

每个进程中,都对应有一个css_set结构体,css_set其实就是cgroup_subsys_state对象的集合,而每个cgroup_subsys_state代表一个subsystem。下面是css_set结构体的定义:
linux-4.4.19/include/linux/cgroup-defs.h #154

struct css_set {
    /* Reference count */
    atomic_t refcount;

    /*
     * List running through all cgroup groups in the same hash
     * slot. Protected by css_set_lock
     */
    struct hlist_node hlist;

    /*
     * Lists running through all tasks using this cgroup group.
     * mg_tasks lists tasks which belong to this cset but are in the
     * process of being migrated out or in.  Protected by
     * css_set_rwsem, but, during migration, once tasks are moved to
     * mg_tasks, it can be read safely while holding cgroup_mutex.
     */
    struct list_head tasks;
    struct list_head mg_tasks;

    /*
     * List of cgrp_cset_links pointing at cgroups referenced from this
     * css_set.  Protected by css_set_lock.
     */
    struct list_head cgrp_links;

    /* the default cgroup associated with this css_set */
    struct cgroup *dfl_cgrp;

    /*
     * Set of subsystem states, one for each subsystem. This array is
     * immutable after creation apart from the init_css_set during
     * subsystem registration (at boot time).
     */
    struct cgroup_subsys_state *subsys[CGROUP_SUBSYS_COUNT];

    /*
     * List of csets participating in the on-going migration either as
     * source or destination.  Protected by cgroup_mutex.
     */
    struct list_head mg_preload_node;
    struct list_head mg_node;

    /*
     * If this cset is acting as the source of migration the following
     * two fields are set.  mg_src_cgrp is the source cgroup of the
     * on-going migration and mg_dst_cset is the destination cset the
     * target tasks on this cset should be migrated to.  Protected by
     * cgroup_mutex.
     */
    struct cgroup *mg_src_cgrp;
    struct css_set *mg_dst_cset;

    /*
     * On the default hierarhcy, ->subsys[ssid] may point to a css
     * attached to an ancestor instead of the cgroup this css_set is
     * associated with.  The following node is anchored at
     * ->subsys[ssid]->cgroup->e_csets[ssid] and provides a way to
最低0.47元/天 解锁文章

200万优质内容无限畅学
cgroup源码分析——基于centos3.10.0-693.25.4
Liaosp的博客
11-27 1038
因docker研究cgroup cgroup主要是对进程进行控制和审计,cgroup到底是怎么进行工作的呢?从cgroup在进程中的位置入手研究会看的清楚点。 看task_struct的结构: #ifdef CONFIG_CGROUPS /* Control Group info protected by css_set_lock */ struct css_set __rcu *cgr...
Linux kernel Cgroups浅析
weixin_44894271的博客
10-09 478
引言 本文为Linux Cgroups学习笔记,简单记录cgroups中的部分原理与操作方式,以便于更能深入的了解容器化技术 Linux kernel Cgroups Cgroups (Control Groups)是 Linux 下用于对一个或一组进程进行资源控制和监控的机制; 可以对诸如 CPU 使用时间、内存、磁盘 I/O 等进程所需的资源进行限制; 不同资源的具体管理工作由相应的 Cgroup 子系统(Subsystem)来实现 ; 针对不同类型的资源限制,只要将限制策略在不同的的子系统上进行关联
Linux cgroup 源码解读(一)
jakec4的博客
11-30 1764
Linux cgroup 几个重要的数据结构: 一个/多个cgroup_control子系统,组成一个树形结构。 1. cgroup_root:cgroup(树)的根,初始所有系统都挂载在全局默认cgrp_dfl_root上。一个cgroup_root可以挂载多个子系统。一个只系统,只能挂载在一个cgroup_root上。 2. cgroup:树子节点。每在一个cgroup_root下创建一...
Linux cgroup 技术
最新发布
程序员小潘
06-13 958
Linux cgroup(Control Groups)技术用于限制进程组的CPU、内存、I/O等资源使用,防止资源过度消耗导致系统崩溃。cgroup由子系统(如CPU、内存控制器)、层级结构和文件系统目录组成,支持v1和v2两个版本,其中v2简化了管理并增强资源隔离能力。通过创建控制组并配置对应文件(如cpu.max、memory.max),可动态限制进程资源。例如,限制CPU为0.5核心或内存为10MB时,超限进程会被终止。
cgroup使用举例和linux内核源码详解
dongzhiyan_hjp
07-11 6068
cgroup的原理其实并不复杂,用法也比较简单。但是涉及的内核数据结构真的复杂,错综复杂的数据结构感觉才是cgroup真正的难点。本文结合个人学习cgroup源码的心得,尽可能以举例的形式,总结cgroup整体框架和核心源码实现,尽可能少贴源码。本次是在centos 7.6测试的cgroup源码注释基于3.10.96。 这里先把cgroup涉及的各个数据结构的关系图发下,后边需要多次用到这幅图。 转存失败重新上传取消转存失败重新上传取消转存失败重新上传取消转存失败重新上传取消转存...
runC源码分析——cgroup
weixin_34280237的博客
01-22 224
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux源码剖析——CGroup 实现原理
白话机器学习
07-22 816
前面我们介绍了CGroup的使用与基本概念,接下来将通过分析源码(本文使用的 Linux2.6.25 版本)来介绍CGroup的实现原理。在分析源码前,我们先介绍几个重要的数据结构,因为CGroup就是通过这几个数据结构来控制进程组对各种资源的使用。cgroup
Linux Kernel Cgroup-BPF 生产环境应用与挑战
12-31
内容概要:本文由一名 Linux 内核软件工程师 Martin Lau 所作,主要介绍了 cgroup-bpf 技术在生产环境中遇到的问题及解决方案。具体地,探讨了 bpf 程序只对某些特定 optname 响应、处理 getsockopt 函数时遇到内存...
终于讲清楚了,Linux Cgroup机制以及其树形结构怎么创建的
GetnextWindow的专栏
09-15 1142
了解Linux Cgroup机制的都清楚,cgroup机制最终是通过树形结构表示的,既然是树形结构,我们必须搞清楚这个树形结构是怎么创建起来的,以及在内核源码中是怎么表达这种树形结构的,我们是否非常清楚怎么遍历整个树,本文将基于Linux5.15源码分析cgroup树形结构的创建过程。假设我们有如下层级结构:app就是test1和test2的父节点,test1和test2是兄弟节点,我们按照这个例子具体展开分析。
Linuxcgroup
04-07
Linux下的cgroups(控制组,Control Groups)是一种强大的系统机制,用于实现进程资源的管理和隔离。它允许系统管理员对进程进行细粒度的资源限制、隔离、配额和优先级控制,包括CPU时间、内存使用、磁盘I/O、网络...
Cgroup源码级别深入
sofia1217的专栏
10-15 651
http://blog.youkuaiyun.com/JK198310/article/list/4
Cgroup核心代码分析
09-16 1462
Linux Kernel Cgroup Core
源码逐层分析k8s中的 Cgroup
Kason_iWiki
10-21 1424
文章目录源码逐层分析Kubernetes 中的 CgroupCgroup 简介K8s中的Cgroups容器级别的CgroupPod级别的CgroupQoS级别的Cgroup节点Node级别的Cgroup探索Cgroup文件结语 源码逐层分析Kubernetes 中的 Cgroup 我们知道 Linux cgroup为 Docker 和 Kubernetes 等容器技术奠定了资源限制的基础。 Kubernetes是一种管理和编排大量容器的工具。并且在配置或部署 Pod 时,用户可以通过资源的请求和限制将资源分
Ray 源码分析系列(9)—cgroup
weixin_43956669的博客
01-04 1413
什么是 cgroupcgroup(Control Group)是 Linux 内核的一项功能,用于限制、记录和隔离进程组的资源使用情况。cgroup 允许系统管理员对CPU、内存、磁盘 I/O、网络带宽等资源进行分配和限制,从而实现资源的有效管理和隔离。cgroup的控制参数都在里面,在笔者自己的电脑上ls可以看到所有的资源限制:注意,这里面分配的资源是docker run 的时候指定的,并不是host物理机上的所有。感兴趣的话可以在自己电脑上实操看看。cgroup 的主要功能资源限制。
Linux cgroup的整体框架
laughing_zou的专栏
04-08 1666
最近因为项目原因,发现对于cgroup的知识严重匮乏,所以恶补了一下cgroup的相关知识。 cgroup指对进程进行分组,然后控制让他们的cpu,io以及memory的使用,和系统的性能息息相关。 一、首先是cgroup的整体框架图: 以上框图可以看出以下几点: 1. cgroup的subsys分为很多种,主要有: acct:进行CPU资源的统计 cpuset:主要用来色值进程跑...
linux内核cgroup,Linux Cgroup系列(01):Cgroup概述
weixin_39989875的博客
05-10 695
cgroup和namespace类似,也是将进程进行分组,但它的目的和namespace不一样,namespace是为了隔离进程组之间的资源,而cgroup是为了对一组进程进行统一的资源监控和限制。cgroup分v1和v2两个版本,v1实现较早,功能比较多,但是由于它里面的功能都是零零散散的实现的,所以规划的不是很好,导致了一些使用和维护上的不便,v2的出现就是为了解决v1中这方面的问题,在最新的...
linux 内核资源配置--cgroups详解以及在docker中的应用
岳来的博客
06-21 6726
linux 内核资源配置--cgroups详解以及在docker中的应用
深入了解Linux命名空间中cgroups相关概念:打开容器技术的黑匣子
Lion_Long的博客
12-08 6656
在当今云计算和容器化技术的兴起下,Linux命名空间和cgroups成为了容器技术的核心支撑。本文将深入探讨Linux命名空间和cgroups的原理和运行机制,解密这两项关键技术在容器化领域的作用和影响。 一、cgroups概念。 二、cpu子系统:CFS、RT、示例。 其他子系统: cpuset子系统、 cpuacct子系统、 memory子系统、 blkio子系统、 devices子系统、 freezer子系统、 net_cls子系统、 net_prio子系统、 perf_event、 hugetlb。
cgroup内存超限通知机制
tsjsdbd的专栏
08-27 1395
1.背景 CloudFoudry会使用warden,warden使用了cgroup,本文描述cgroup中memory子系统的一些机制,所以本文面向Linux容器管理者比较合适。   现在Linux容器的技术比较火,很多云平台都会使用到Linux容器来作为Application的运行环境,例如Cloud Foundry使用的Warden,以及超级热门的Docker。一个App在容器中运行,它
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值