OpenContainers runc项目中的systemd cgroup驱动详解

于 2025-06-03 09:05:08 发布
阅读量308 收藏 6
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00432/article/details/148392987

OpenContainers runc项目中的systemd cgroup驱动详解

runc CLI tool for spawning and running containers according to the OCI specification runc 项目地址: https://gitcode.com/gh_mirrors/ru/runc

前言

在容器运行时环境中,cgroup(控制组)管理是资源隔离和限制的核心机制之一。作为OpenContainers runc项目的技术专家,我将深入解析runc与systemd集成的cgroup驱动机制,帮助开发者更好地理解和使用这一功能。

systemd cgroup驱动概述

runc默认使用fs(文件系统)cgroup驱动,即直接操作cgroup文件系统来创建和管理cgroups。但当使用--systemd-cgroup全局选项时,runc会切换到systemd cgroup驱动模式。这种模式下,runc通过systemd的DBus接口来管理cgroups,与systemd生态系统深度集成。

systemd单元命名与位置

命名规则

runc创建容器时,会请求systemd创建一个临时单元(transient unit)。单元名称和所属slice的确定遵循以下规则:

  1. Linux.CgroupsPath设置时:

    • 格式应为[slice]:[prefix]:[name]
    • slice部分指定容器所属的systemd slice,默认为system.slice(cgroup v2且非root容器时默认为user.slice
    • 特殊值-表示根slice
    • 最终单元名称为<prefix>-<name>.scope,除非name以.slice结尾

  2. Linux.CgroupsPath未设置时:

    • 等效于设置为:runc:<container-id>

单元类型

runc可以创建两种类型的systemd单元:

  • Scope单元:设置Slice=属性指定父slice,并启用Delegate=true以实现资源委托
  • Slice单元:通过Wants=属性设置对父slice的弱依赖关系

资源限制管理

基础资源统计

无论是否设置资源限制,runc都会为systemd单元启用以下资源统计功能:

  • CPU统计(CPUAccounting)
  • IO统计(IOAccounting/BlockIOAccounting)
  • 内存统计(MemoryAccounting)
  • 任务统计(TasksAccounting)

资源限制转换

runc将OCI运行时规范中的资源限制转换为systemd单元属性。这种转换不是完全一一对应的,因为有些cgroup属性无法通过systemd直接设置。因此,runc的systemd驱动实际上是基于fs驱动的混合模式。

转换规则根据cgroup版本和systemd版本有所不同:

cgroup v1支持

| OCI资源 | systemd属性 | 最低systemd版本 | |------------------|--------------------|----------------| | memory.limit | MemoryLimit | - | | cpu.shares | CPUShares | - | | blockIO.weight | BlockIOWeight | - | | pids.limit | TasksMax | - | | cpu.cpus | AllowedCPUs | v244 | | cpu.mems | AllowedMemoryNodes | v244 |

cgroup v2支持

| OCI资源 | systemd属性 | 最低systemd版本 | |----------------------|--------------------------|----------------| | memory.limit | MemoryMax | - | | memory.reservation | MemoryLow | - | | memory.swap | MemorySwapMax | - | | cpu.shares | CPUWeight | - | | unified.cpu.max | CPUQuota/CPUQuotaPeriodSec | v242 | | unified.cpu.idle | CPUWeight | v252 | | unified.memory.high | MemoryHigh | - | | unified.memory.min | MemoryMin | - |

高级配置:辅助属性设置

通过容器运行时规范(config.json)中的annotations,可以设置或覆盖systemd单元的辅助属性。例如:

{
    "annotations": {
        "org.systemd.property.TimeoutStopUSec": "uint64 123456789",
        "org.systemd.property.CollectMode": "'inactive-or-failed'"
    }
}

属性值需要使用gvariant文本格式指定。要了解特定参数的类型要求,需要参考systemd源代码。

实际应用建议

  1. 版本兼容性:在使用高级功能前,请确认主机上的systemd版本支持所需特性
  2. 混合模式:即使使用systemd驱动,某些限制仍会通过cgroupfs设置
  3. 调试技巧:使用systemctl show <unit-name>检查实际生效的单元属性
  4. 性能考量:对于性能敏感场景,建议测试比较fs驱动和systemd驱动的差异

结语

runc的systemd cgroup驱动提供了与systemd生态系统的深度集成,使得容器资源管理能够充分利用systemd的强大功能。理解其工作原理和限制,有助于开发者在实际环境中做出更合理的技术选择和配置。

runc CLI tool for spawning and running containers according to the OCI specification runc 项目地址: https://gitcode.com/gh_mirrors/ru/runc

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

【云原生进阶之容器】第五章容器运行时5.3.2--runC原理解读
junbaozi的专栏
04-02 521
runC可以启动并管理符合OCI标准的容器。简单地说,runC需要利用OCI bundle创建一个独立的运行环境,并执行指定的程序。在Linux平台上,这个环境就是指各种类型的Namespace以及Capability等等配置。runC由Go语言实现,当前(2018.12)最新版本是v1.0.0-rc6,代码的结构可分为两大块,一是根目录下的go文件,对应各个runC命令,二是负责创建/启动/管理容器的libcontainer,可以说runC的本质都在libcontainer。
CGroup管理资源限制和系统追踪工具使用详解
悦分享
08-27 287
2006 年,Google 工程师在开源社区发起了一个用来管理和限制进程资源使用的项目,名为“process containers”,2007 年,Linux 内核团队将其改名为 cgroup 纳入到 Linux 内核 feature 项目中。在 2008 年 1 月发布的 Linux 2.6.24,这一功能被合并到了内核中。到 Linux 4.5 版本内核,CGroup v2 被合并到内核,这是一次在使用方式上的重大更新。
k8s中Cgroupsystemd cgroupfs 区别
qq_37705525的博客
05-11 4467
k8s中Cgroupsystemd cgroupfs 区别
使用systemd内置的cgroup对资源进行控制
thebestismin的专栏
04-28 594
systemctl show xxx.service来获取,也可以通过systemctl set-property xxx.service MemoryMax=30G来进行实时配置并写入文件,其中如果不支持的参数,此处会报错。systemdcgroup的推荐配置方法,除此之外可以直接在cgroup配置文件中新建策略,通过添加pid的方式进行生效(/sys/fs/cgroup/cpu/test/xxx)systemd的service文件中支持的命令可以通过。控制cpu使用率(消耗的cpu)
【博客615】通过systemd设置cgroup来限制服务资源争抢
qq_43684922的博客
02-11 2039
我们的宿主机上通常会用systemctl来管理一些agent服务,此时我们需要限制服务的cpu,memory等资源用量,以防止服务之前互相争抢资源,导致某些核心agent运行异常。
深入了解Linux命名空间中cgroups相关概念:打开容器技术的黑匣子
Lion_Long的博客
12-08 6621
在当今云计算和容器化技术的兴起下,Linux命名空间和cgroups成为了容器技术的核心支撑。本文将深入探讨Linux命名空间和cgroups的原理和运行机制,解密这两项关键技术在容器化领域的作用和影响。 一、cgroups概念。 二、cpu子系统:CFS、RT、示例。 其他子系统: cpuset子系统、 cpuacct子系统、 memory子系统、 blkio子系统、 devices子系统、 freezer子系统、 net_cls子系统、 net_prio子系统、 perf_event、 hugetlb。
Cgroups 与 Systemd
weixin_33853827的博客
08-27 1004
Cgroups 是 linux 内核提供的一种机制,如果你还不了解 cgroups,请参考前文《Linux cgroups 简介》先了解 cgroups。当 Linux 的 init 系统发展到 systemd 之后,systemdcgroups 发生了融合(或者说 systemd 提供了 cgroups 的使用和管理接口,systemd 管的东西越来越多啊!)。本文将简单的介绍 cgrou...
容器运行时runc内部实现深入解读
y_chen_007的博客
05-11 1987
runc 内部实现深入解读 最近把runc的实现代码仔细的看了一遍,有点复杂,特别是nsenter那块反反复复看了不下三遍才搞懂是个什么机制,不过确实写得不错,防止日后遗忘,另外也给其他朋友一点参考(网上有一些关于runc的介绍文章,但是没有nsenter这块的介绍) 概要设计 runc的实现分为两个大阶段: 第一个阶段叫bootstrap, 设置一些环境以及配置信息, 创建匿名管道, 把容器的...
干货分享 | Systemd 技术原理&实践(上)
UbuntuKylinOS的博客
10-09 1647
关注优麒麟,更多干货等着你!优麒麟的程序员小哥在研究如何优化系统资源模块时,查阅了许许多多的资料,发现没有一篇能详细把 systemd 的优势与原理说得很清楚的中文介绍文章,于是自己动手下载了 systemd 的源码,对照资料汇总了一份有关 systemd详解文章,希望能对研究 systemd 的优客有所帮助。systemd 介绍1 systemd 的起源关于 systemd 的起源,首先要从 Linux 的 init 程序说起。Linux 系统在启动过程中,内核完成初始化以后,由内核第一个启
容器运行时 源码分析
最新发布
xiyanxiyan10的专栏
02-18 697
容器运行时源码分析
cgroupfs-mount:简单(陈旧)的脚本来装入cgroupfs(v1)层次结构,尤其是针对Debian打包的结构
05-05
cgroupfs-mount 轻量级软件包,用于设置cgroupfs挂载 控制组是一种内核机制,用于跟踪任务组上的资源使用并对其施加限制。 这些脚本在引导时设置cgroup,而无需执行任何cgroup管理或将任务分类为cgroup。 我需要这个吗? 如果您使用systemd作为初始化系统,则不需要它,因为systemd将已经配置和管理正确安装的cgroup层次结构。 我该如何安装? 对于Debian用户,只需apt-get install cgroupfs-mount 。 如果您使用的是Ubuntu 14.04(Trusty),则应改用cgroup-lite (该软件包所基于的等效软件包)。 如果您使用的是Ubuntu 16.04(Xenial)或更高版本,则可能已经在使用systemd ,因此不太可能需要此软件包。 如果您使用的是其他发行版,请在发行版的软件包中查找类似的软件
k8s使用kubeadm初始化成功后,重启docker出现如下错误的原因是什么:kubelet cgroup driver: “cgroupfs“ is different from docker c
sinat_37163044的博客
06-18 1143
请注意,修改kubelet的配置可能需要重启kubelet服务,这可能会中断正在运行的容器和Pod,请谨慎操作,并确保在生产环境中使用适当的测试和备份策略。它使用文件和目录结构表示层次化的cgroup组织,并通过读写文件来配置和监控各个cgroup的资源使用情况。不同的cgroup驱动程序会使用不同的方式来设置和管理cgroup,从而影响容器对其资源的访问和限制。这个错误提示表明在Kubernetes (k8s)环境中,kubelet的cgroup驱动程序与Docker的cgroup驱动程序不匹配。
Linux容器核心技术之: Cgroups
开心就好的专栏
02-04 1993
文章目录Cgroups是什么?Cgroups中的三个组件cgroup 用于对进程分组, 分组后便于统一设置资源限制;subsystem 用于对资源做限制及监控;hierarchy三个组件的相互关系cgroup 文件系统(cgroupfs)介绍Cgroups使用示例在cgroup中添加和移动进程通过subsystem限制cgroup中进程的资源参考 Cgroups是什么? 查看linux man page: https://man7.org/linux/man-pages/man7/cgroups.7.htm
Cgroup入门到使用
m0_45455357的博客
12-10 1407
Cgroup(Control Group)是Linux内核提供的一种资源管理和限制机制,用于对进程进行分组并对分组内的进程进行资源限制、优先级调整等操作。Cgroup的主要目标是提供一种统一的接口来管理系统资源,如CPU、内存、磁盘I/O等。Cgroup文件系统:用于存储Cgroup的配置信息和状态数据。子系统(Subsystem):用于实现对特定资源的管理和限制,如CPU子系统、内存子系统等。控制组(Control Group):用于对进程进行分组,每个控制组可以关联一个或多个子系统。术语表。
【Linux】资源控制机制 — cgroups 详解
卜及中的博客
12-23 2235
Cgroups(控制组)是 Linux 内核提供的一项功能,旨在对一组进程进行资源分配、限制、优先级调整和监控。通过 Cgroups,系统管理员可以将进程组织成多个组,并对这些组的资源使用情况进行控制和管理。Cgroups 允许用户对 CPU、内存、磁盘 I/O、网络带宽等资源进行细粒度的管理,能够限制、优先分配或监控这些资源,确保系统资源在多个进程或容器之间合理分配。
Linux Cgroups概述
cl2010abc的专栏
02-27 407
https://cloud.tencent.com/developer/article/1574064
kubernetes failed to create kubelet: misconfiguration: kubelet cgroup driver: "cgroupfs" is differen...
牛奔的博客
03-25 620
错误原因 kubernetes 的文件驱动与 docker 不一致,导致镜像无法启动。 docker info 可以看到驱动方式 Cgroup Driver: systemd。 解决方案 统一资源管理,一致使用 systemd 或者 cgroupfs。 在 Linux 上,控制组(CGroup)用于限制分配给进程的资源。 当某个 Linux 系统发行版使用 systemd 作为其初始化系统时,初...
Kubelet --cgroup-driver=systemd
小楼一夜听春雨,深巷明朝卖杏花
06-16 3531
上面可以看到cgroup是通过一系列的文件来管控所有的资源分配的,包括创建了一个cgroup,同时将一个cgroup和这个进程进行关联,也就是将进程号echo到那个procs文件里面,同时修改cpu的quota来限制其使用的资源,这一整套都是cgroup的文件系统,cgroup本身可以有不同的driver。当操作系统使用systemd作为init system时,初始化进程生成一个根cgroup目录结构并作为cgroup管理器。systemdcgroup紧密结合,并且为每个systemd unit分配cg
修复 Docker 重启报 cgroup 问题
清瞳清的博客
04-01 3850
docker 报错 Docker 启动或者重启时报以上两个错误: ● Error starting daemon: Devices cgroup isn’t mounted ● Error response from daemon: Cannot restart container rsnmp_v4: OCI runtime create failed: container_linux.go:349: starting container process caused “process_linux.go:2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江涛奎Stranger

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值