Docker cgroup

最新推荐文章于 2025-11-24 20:47:29 发布
原创 最新推荐文章于 2025-11-24 20:47:29 发布 · 568 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang

Docker 利用 cgroup 来限制容器的 CPU、内存、I/O、网络等资源。你可以手动用 cgroup 创建一个 类似 Docker 的受限进程,来理解 Docker 的底层封装。

最简单的 cgroup + namespace 实现容器

Docker 不仅仅是 cgroup,还用到了 namespace(名字空间),所以我们用 unshare + cgroup 手写一个最小的 "容器"。

Demo 1:用 cgroup 限制进程

步骤 1:创建 cgroup

bash

复制编辑

mkdir /sys/fs/cgroup/demo_container

步骤 2:限制资源

(1) 限制 CPU 只能用 50%

bash

复制编辑

echo "50000 100000" > /sys/fs/cgroup/demo_container/cpu.max

(2) 限制内存最多 100MB

bash

复制编辑

echo "100000000" > /sys/fs/cgroup/demo_container/memory.max

(3) 限制进程数最多 5 个

bash

复制编辑

echo "5" > /sys/fs/cgroup/demo_container/pids.max

步骤 3:启动进程,并加入 cgroup

bash

复制编辑

sleep 99999 & echo $! > /sys/fs/cgroup/demo_container/cgroup.procs

这个进程 只能用 50% CPU、100MB 内存,最多开 5 个子进程,跟 Docker 容器的资源限制类似!

Demo 2:用 namespace 实现隔离

Docker 还用 namespace 实现进程隔离,我们可以手写一个最小容器。

步骤 1:启动隔离的进程

bash

复制编辑

unshare -m -u -i -n -p -f --mount-proc bash

解释:

  • -m → 隔离 挂载点(类似 chroot
  • -u → 隔离 主机名
  • -i → 隔离 进程 ID
  • -n → 隔离 网络
  • -p → 隔离 PID
  • -f → 让 bash 变成新 namespace 的第一个进程
  • --mount-proc → 挂载新的 /proc

步骤 2:修改 hostname

bash

复制编辑

hostname my-container

现在 hostname 在这个进程里变了,外面不受影响!

步骤 3:查看进程

bash

复制编辑

ps aux

你会发现进程 ID 跟主机不一样,说明它在自己的 PID namespace 里,和 Docker 容器行为一致!

Docker 是怎么用 cgroup 和 namespace 的?

当你运行:

bash

复制编辑

docker run -it --memory=100m --cpus=0.5 ubuntu bash

Docker 其实做了三件事:

  1. 创建 cgroup
    • memory.max=100m
    • cpu.max=50%
    • pids.max=无限制
  2. 创建 namespace
    • mount namespace(隔离文件系统)
    • network namespace(隔离网络)
    • pid namespace(隔离进程)
  3. 运行进程
    • /bin/bash 作为容器的第一个进程

你可以用 docker inspect <容器 ID> 看到 cgroup 具体路径,比如:

bash

复制编辑

cat /sys/fs/cgroup/memory/docker/<容器ID>/memory.max

会发现它和 docker run --memory=100m 对应上了。

总结

  • cgroup:Docker 用它 限制 CPU、内存、I/O
  • namespace:Docker 用它 隔离进程、网络、文件系统
  • unionfs:Docker 用它 提供分层镜像

unshare + cgroup 手写一个最小的容器,感受 Docker 的底层封装

【笔记版】在容器内使用cgroup限制CPU
weixin_49064876的博客
03-04 1182
在容器中创建一个脚本文件如下:这就是一个空跑的死循环。运行这个shell,./while.sh用top命令,将while.sh运行的这个进程号PID加入控制组,用top命令观察while脚本运行的情况,此时几乎占据了整个cpuCPU使用率均为100%上下浮动。top -b 批次出现与while有关的进程状态。在容器的cgroup目录下,设置cpu.max限制容器中进程最多只能使用一半的CPU时间。
cgroup2版本下使用cgroups对内存/cpu进行控制
m0_62714628的博客
11-05 984
cgroup2版本下使用cgroups对内存/cpu进行控制
Linux下CGroup进行CPU内存等资源控制
lbyyy的专栏
01-11 8667
留存 from: http://www.cnblogs.com/kevingrace/p/5685433.html  and  http://www.cnblogs.com/wang_yb/p/3942208.html CGroup 介绍 CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups)
【容器底层技术】cgroup v2使用与测试
include的博客
10-06 7419
如果输出只有cgroup,说明内核还未挂载cgroup v2或者内核不支持cgroup v2出现了cgroup v2说明内核是支持的,可以继续接下来的操作对于使用 systemd 引导的系统,可以在引导文件的中添加如下一行,启用 v2 版本可以使用防止cgroup v1抢占所有controller,体验纯cgroup v2环境最后再进行重启,就可以使用cgroup v2了。
从零自制docker-10-【cgroup进行容器资源限制】
llovewuzhengzi的博客
04-14 1220
例如,如果父 cgroup 只允许使用 CPU 0 和 CPU 1,那么即使子 cgroup 可以使用所有 CPU,但 cpuset.cpus.effective 也只会显示 CPU 0 和 CPU 1。假设我们有两个 cgroup,“D”和“E”,我们希望“D”获得三倍于“E”的 CPU 时间,但我们还希望限制“D”在 2 秒内只能使用 1 秒的 CPU 时间。这意味着,即使当前 cgroup 可以使用所有 CPU 资源,但由于父 cgroup 的限制,它实际只能使用 CPU 0 和 CPU 1。
Docker基础-cgroup_docker cgroup
2401_87288961的博客
09-21 1602
cgroups(Control Groups) 是 linux 内核提供的一种机制,这种机制可以根据需求把一 系列系统任务及其子任务整合(或分隔)到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。简单说, cgroups 可以限制、记录任务组所使用的物理资源。本质上来说, cgroups 是内核附加在程序上的一系列钩子(hook),通过程序运行时对资源的调度触发相应的钩子以达到资源追踪和限制的目的。
Docker基础-cgroup_docker cgroup(1)
2401_87288935的博客
09-21 2061
cgroups(Control Groups) 是 linux 内核提供的一种机制,。简单说, cgroups 可以限制、记录任务组所使用的物理资源。本质上来说, cgroups 是内核附加在程序上的一系列钩子(hook),通过程序运行时对资源的调度触发相应的钩子以达到资源追踪和限制的目的。
修改 docker cgroup 版本的方法 (changing cgroup version)
shida's blog
05-08 7160
Kubernetes 从 1.19 起支持 cgroup v2 版本,如需运行 1.19 之前的老版本,需要宿主机 Docker 使用 cgroup v1。 默认新版 docker 都默认使用 cgroup v2: # docker info ... Cgroup Version: 2 ... 要切换使用 v1 版 cgroup,需要做如下配置: # vim /etc/default/grub GRUB_CMDLINE_LINUX="systemd.unified_cgroup_hierarchy=
kubelet cgroup driver: systemd is different from docker cgroup driver: cgroupfs
qq 117791303
07-25 745
Failed to run kubelet" err="failed to run Kubelet: misconfiguration: kubelet cgroup driver: \"systemd\" is different from docker cgroup driver: \"cgroupfs\"
kubelet cgroup driver: \“systemd\“ is different from docker cgroup driver: \“cgroupfs\“
zenglingmin8的博客
01-15 3809
kubelet cgroup driver: \"systemd\" is different from docker cgroup driver: \"cgroupfs\"
docker 驱动问题detected “cgroupfs“ as the Docker cgroup driver. The recommended driver is “systemd“.
博客
06-08 2840
docker 驱动问题detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd".
深入解析Linux资源限制:绑核、cgroups 与 cpulimit 的全面指南
makou_yuan的博客
03-07 3259
在高性能计算,实时系统或资源受限的嵌入式场景中,合理分配和管理CPU资源是优化系统性能的关键。本文围绕绑核(CPU Affinity),cgroups(Control Groups)和 cpulimit三大工具,详细介绍其原理,使用方法及适用场景,希望对你的系统优化工作有所增益。
Linux CGroup资源限制(概念&限制进程CPU使用)
weixin_45565886的博客
06-04 4648
Linux CGroup资源限制(概念&限制进程CPU使用)
Cgroup 资源配置---CPU、内存和磁盘
ljj的学习笔记
03-31 1668
目录一、Cgroup 资源配置方法二、使用stress工具测试CPU 和内存1、设置CPU的权重2、CPU周期限制3、CPU Core控制4、CPU配额控制参数的混合使用5、内存限额三、Block lO的限制四、bps和iops的限制 一、Cgroup 资源配置方法 Docker 通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。 Cgroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程
使用cgroup绑定ceph的CPU,以及限制内存
maxu110120qq的博客
10-09 942
前提条件 内核版本需较新: uname -r 4.0.0-1.el6.elrepo.x86_64 修改配置cgconfig文件 # cat /etc/cgconfig.conf mount { cpu = /cgroup/cpu; cpuacct = /cgroup/cpuacct; cpuset = /cgroup/cpu; devices = /cgroup/devices; m...
【打靶日记】HackMyVm 之 hunter
最新发布
XHhui的博客
11-24 400
(rkhunter)通过ARP扫描发现目标主机192.168.56.104,Nmap扫描显示开放22和8080端口。在8080端口发现/admin目录和robots.txt文件,获取到凭证hunterman:thisisnitriilcisi。登录后获得user.txt文件。进一步分析发现内部robots.txt包含huntergirl的凭证,切换用户后利用sudo权限执行rkhunter工具读取root.txt文件,最终获取flag:HMV{FhOpuXDUlZFhOpuXDUlZ}。
Go语言高性能网络微服务与gRPC实战分享:接口设计与并发优化经验
2501_94114815的博客
11-23 309
协程池与异步任务提升高并发处理能力批量请求与连接复用优化网络性能服务注册与负载均衡保证系统高可用日志与监控及时发现异常Protobuf 序列化与压缩提高传输效率Go 语言结合 gRPC,通过高并发处理、轻量 RPC 和高效序列化,为物联网和互联网高性能微服务提供了稳定、可扩展的解决方案。
Golang】——Gin 框架中的表单处理与数据绑定
2509_94007132的博客
11-24 428
Gin 允许注册自定义验证器。import ("regexp"// 注册自定义验证器// 路由err!= nil {return})本篇博客详细介绍了 Gin 框架中表单处理与数据绑定的功能,从基础的表单提交到复杂的数据验证和文件上传,再到完整项目示例,涵盖了实际开发中的常见场景。在下一篇博客中,我们将学习如何处理 API 请求与 JSON 数据绑定,进一步拓展你的 Web 开发能力。
Golang Cobra 教程:构建强大的CLI应用
goodparty的专栏
11-23 1003
本文介绍了如何使用Go语言的Cobra库构建功能完整的命令行应用。Cobra是Kubernetes、Docker等知名项目采用的CLI开发框架,支持子命令结构、参数验证、自动生成帮助文档等功能。教程从安装Cobra开始,详细讲解了命令、参数和标志等核心概念,并通过创建文件管理工具的实际案例,演示了如何实现创建、列出和删除文件等子命令功能。示例代码展示了Cobra的基本用法,包括参数处理、标志绑定和交互式确认等特性,帮助开发者快速掌握构建专业级CLI应用的技能。
docker CGroup怎么更改
08-20
### 修改 DockerCGroup 配置 Docker 通过 Cgroup(Control Groups)来实现对容器资源的配额和控制,包括 CPU、内存、磁盘 I/O 等资源的限制和度量。用户可以通过修改 DockerCgroup 设置,调整容器的资源使用策略。 要更改 DockerCGroup 设置,通常涉及两个层面的配置:一是系统级的 Cgroup 版本选择(如切换 cgroup v1 或 v2),二是 Docker 服务对 Cgroup 的具体资源限制配置。 #### 更改 Cgroup 版本 Linux 系统支持两种版本的 Cgroup:v1 和 v2。Docker 默认支持两种版本,但某些功能在 v2 下可能受限。如果需要切换为 cgroup v1,需修改 GRUB 配置: ```bash sudo vim /etc/default/grub ``` 将以下参数添加到 `GRUB_CMDLINE_LINUX` 中: ``` systemd.unified_cgroup_hierarchy=0 ``` 更新 GRUB 配置并重启系统: ```bash sudo update-grub sudo reboot ``` 该配置会禁用统一的 cgroup v2 层级,启用传统的 cgroup v1 模式 [^1]。 #### 配置 Docker 使用的 Cgroup 资源限制 Docker 默认使用 `cgroupfs` 驱动来管理容器的资源限制。可以通过修改 Docker 的守护进程配置文件 `/etc/docker/daemon.json` 来指定 Cgroup 相关的资源限制策略。例如,限制容器的内存使用: ```json { "default-ulimits": { "memlock": { "Name": "memlock", "Hard": -1, "Soft": -1 } }, "exec-opts": ["native.cgroupdriver=cgroupfs"] } ``` 还可以为特定容器设置资源限制。例如,启动一个容器时限制其内存为 20MB: ```bash docker run -d --name test-mem --memory="20m" stress --vm 1 --vm-bytes 50M --vm-keep ``` 该命令启动一个容器,并限制其最大内存为 20MB,即使尝试分配 50MB 内存,也会受到 Cgroup 的限制 [^3]。 #### 手动操作 Cgroup 策略 如果需要更细粒度地控制资源,可以直接操作 Cgroup 文件系统。例如,创建一个 cgroup 并设置内存限制: ```bash sudo mkdir /sys/fs/cgroup/memory/mygroup echo 20971520 > /sys/fs/cgroup/memory/mygroup/memory.limit_in_bytes ``` 将某个进程加入该组: ```bash echo <pid> > /sys/fs/cgroup/memory/mygroup/tasks ``` 这样可以实现对特定进程的资源控制,适用于调试或高级用例 [^3]。 #### 注意事项 - 修改 Cgroup 设置后,必须重启 Docker 服务以使配置生效: ```bash sudo systemctl restart docker ``` - 如果使用 systemd 作为 Cgroup 驱动(推荐),需确保 Docker 配置中包含: ```json { "exec-opts": ["native.cgroupdriver=systemd"] } ``` 这可以避免与系统管理工具之间的冲突 [^2]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值