容器——Cgroup简介

最新推荐文章于 2025-03-09 10:08:28 发布
最新推荐文章于 2025-03-09 10:08:28 发布
阅读量1.2k 收藏 27
点赞数 13
分类专栏: # 容器 # Linux 文章标签: linux 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woshihlf/article/details/145839159
版权

文章目录

Cgroup简介

  • Cgroup 是 Linux 内核的一个特性,用于对进程组的资源(如 CPU、内存、磁盘 I/O 等)进行限制、监控和管理。

Cgroup核心概念

Cgroup(Control Group)定义

  • 每个 cgroup 是一个进程组,可以包含多个进程,该进程组有很多属性(这些属性需要通过关联子系统的方式附加上去(挂载),挂载完成后就得到了很多cgroup文件),用于限制、监控和管理该进程组的资源。

  • cgroup 是对进程分组管理的一种机制,一个 cgroup 包含一组进程,并可以在这个 cgroup 上增加 Linux subsystem 的各种参数配置,将一组进程和一组 subsystem 的系统参数关联起来。

核心功能

将进程分组,并对这些组的资源使用进行控制。

特点

  • 每个 cgroup 是一个进程组,可以包含多个进程。
  • cgroup 可以嵌套,形成层次结构(树状结构)。
  • 每个 cgroup 可以关联一个或多个子系统(Subsystem),用于管理特定类型的资源。

Cgroup 树(Hierarchy)定义

  • Cgroup 树是 cgroup 的层次结构,由多个 cgroup 节点组成,形成一个树状结构。

特点

  • 每个 cgroup 树是一个独立的层次结构,可以关联一个或多个子系统。
  • 一个系统中可以存在多个 cgroup 树,每个树可以管理不同的资源。
  • 每个进程只能属于一个 cgroup 树中的一个 cgroup 节点,但可以同时属于多个 cgroup 树(每个树关联不同的子系统)。
  • 可以在根 cgroup 下可以设置一些全局的资源限制,而在子 cgroup 中又可以针对特定的进程组设置更具体、更细致的限制。这种层次结构使得系统能够根据不同的需求对进程进行分层管理,实现资源的精细分配。

作用

  • 通过树状结构,实现资源的层次化分配和管理。
  • 父 cgroup 的资源限制会传递给子 cgroup。

Subsystem(子系统)定义

  • 子系统是 cgroup 中负责管理特定类型资源的模块,也称为控制器(Controller)。目前大约有12 - 14个常见的子系统。

常见子系统

  • cpu:控制 CPU 时间分配。
  • memory:控制内存使用。
  • blkio:控制块设备 I/O(如磁盘带宽)。
  • net_cls:控制网络流量分类。
  • freezer:暂停和恢复 cgroup 中的进程。
  • pids:限制 cgroup 中的进程数量。

特点

  • 每个子系统可以绑定到一个 cgroup 树。
  • 一个 cgroup 树可以绑定多个子系统。
  • 子系统的资源控制是独立的,不同子系统可以管理不同的资源。

查看子系统

$ cat /proc/cgroups
#subsys_name    hierarchy       num_cgroups     enabled
cpuset          1               1               1
cpu             2               57              1
cpuacct         3               1               1
blkio           4               36              1
memory          5               98              1
devices         6               50              1
freezer         7               2               1
net_cls         8               1               1
perf_event      9               1               1
net_prio        10              1               1
hugetlb         11              1               1
pids            12              63              1
rdma            13              1               1
misc            14              1               1
  • subsys_name:子系统的名字,比如 cpu 是管理 CPU 资源的,memory 是管理内存资源的。
  • hierarchy:子系统关联的 cgroup 树的 ID。如果为 0,表示没有关联任何树;如果 cpu 和 cpuacct 的 hierarchy 值相同,说明它们绑定到了同一棵树;如果 hierarchy 为 0,说明这个子系统没有绑定到任何树,或者它已经绑定到 cgroup v2 的树。
  • num_cgroups:该子系统关联的 cgroup 树中有多少个进程组(节点)。比如,memory 的 num_cgroups 是 98,表示内存子系统关联的树中有 98 个进程组。
  • enabled:子系统是否开启。1 表示开启,0 表示关闭。

挂载(Mount)定义

  • 挂载是将 cgroup 的功能映射到文件系统的某个目录,从而可以通过文件系统的操作来管理 cgroup。

特点

  • 每个 cgroup 树需要通过挂载到文件系统来使用。
  • 挂载点通常是/sys/fs/cgroup/目录下的子目录。
  • 挂载时可以指定绑定的子系统。

示例

# 挂载一个 cgroup 树,绑定 cpu 和 memory 子系统
mount -t cgroup -o cpu,memory cgroup /sys/fs/cgroup/cpu_memory

作用

  • 通过文件系统的接口(如cgroup.procs、cgroup.controllers等文件)管理 cgroup。
  • 挂载后,可以通过文件操作(如读写文件)来配置资源限制。

Cgroup 文件定义

  • cgroup 通过文件系统暴露接口,每个 cgroup 目录下都有一些核心文件,用于配置和监控资源。

常见文件

  • cgroup.procs:列出属于该 cgroup 的进程 PID。
  • cgroup.controllers:列出该 cgroup 可用的控制器。
  • cgroup.subtree_control:启用或禁用子 cgroup 的控制器。
  • cgroup.events:显示 cgroup 的状态(如是否被冻结)。
  • memory.min和memory.low:设置内存保护。

作用

通过这些文件,用户可以配置资源限制、监控资源使用、迁移进程等。

Cgroup核心交互逻辑

  • 一个 hierarchy 可以理解为一棵 cgroup 树,树的每个节点就是一个进程组,每棵树都会与零到多个 subsystem 关联。

  • 在一颗树里面,会包含 Linux 系统中的所有进程,但每个进程只能属于一个节点(进程组)。

  • 系统中可以有很多颗 cgroup 树,每棵树都和不同的 subsystem 关联。

  • 一个进程可以属于多颗树,即一个进程可以属于多个进程组,只是这些进程组和不同的 subsystem 关联。

  • 目前 Linux 支持 12 - 14 种 subsystem,如果不考虑不与任何 subsystem 关联的情况(systemd 就属于这种情况),Linux 里面最多可以建 12 - 14 颗 cgroup 树,每棵树关联一个 subsystem,当然也可以只建一棵树,然后让这棵树关联所有的 subsystem。

  • 当一颗 cgroup 树不和任何 subsystem 关联的时候,意味着这棵树只是将进程进行分组,至于要在分组的基础上做些什么,将由应用程序自己决定,systemd 就是一个这样的例子。

hierarchy(层级结构)与 subsystem(子系统)的关系

  • 一个 hierarchy 可以附加多个 subsystem。但是一个 subsystem 只能附加到一个 hierarchy 上。
  • Linux 支持 12 - 14 种 subsystem,不考虑特殊情况(如 systemd 这种不与任何 subsystem 关联的情况),Linux 最多可建 12 - 14 颗 cgroup 树,每棵树关联一个 subsystem;也可以只建一棵树并让其关联所有 subsystem。
  • 当一个 hierarchy 不与任何 subsystem 关联时,仅用于进程分组,后续操作由应用程序决定,例如 systemd。

hierarchy 与进程(task)的关系

  • 系统创建新的 hierarchy 后,系统中所有进程都会加入该 hierarchy 的 cgroup 根节点(默认创建)。
  • 对于每个 hierarchy,一个 task 只能存在于其中一个 cgroup 中,即一个 task 不能存在于同一个 hierarchy 的不同 cgroup 中。
  • 一个进程可以作为多个 cgroup 的成员,但这些 cgroup 必须在不同的 hierarchy 中,即一个进程可以属于多颗 cgroup 树(不同 hierarchy),且这些树和不同的 subsystem 关联。

subsystem 与进程(task)的关系

  • 由于 subsystem 附加在 hierarchy 上,进程存在于 hierarchy 的 cgroup 中,所以进程通过所在的 hierarchy 与相应的 subsystem 产生关联。

进程(task)相关操作

  • 一个进程 fork 出子进程时,子进程默认和父进程在同一个 cgroup 中,也可根据需要将其移动到其他 cgroup 中。
  • 进程(task)在 fork 自身时创建的子任务(child task)默认与原 task 在同一个 cgroup 中,同样允许被移动到不同的 cgroup 中。

Cgroup的部分特性

操作的原子性和延迟销毁

  • 原子性:当你在cgroup.subtree_control文件中指定多个控制器时,这些操作要么全部成功,要么全部失败。这意味着,如果你尝试同时启用cpu和memory控制器,但其中一个失败,那么这两个控制器都不会被启用。
  • 延迟销毁:当你销毁一个cgroup的控制器时,这个过程是异步的。这意味着,即使控制器已经被标记为销毁,它可能仍然存在于系统中一段时间,直到所有的引用都被释放。这可能会导致一些延迟引用的问题,即在控制器被销毁后,仍然有进程或代码尝试访问它。

进程和线程的跨cgroup迁移

  • 进程的 cgroup 归属和它与其他进程(比如父进程、子进程)之间的关系是没有必然联系的。例如,父进程在 cgroup A 中,但新创建的子进程可以被放置在 cgroup B、cgroup C 等其他任何 cgroup 中,这为灵活地管理进程资源提供了可能。
docker底层之cgroup
qingchi0的专栏
03-29 4093
cgroup的实现相对namespace要复杂一些,网上也有一些代码分析,大家对代码分析的兴趣估计也不大,所以这里就不放代码分析了,主要对其使用进行说明,么么哒。 Cgrouplinux内核集成的资源控制机制,cgroup与用户态交互通过特殊文件系统cgroup文件系统,进行交互,所有设置或者查看cgroup的动作都可以通过cgroup文件系统下的文件完成,因此除了编译内核的时候需要打开特
Docker容器——网络模式和Cgroup资源限制
2401_83330816的博客
07-16 407
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的 Container-IP直接通信。Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部
Cgroup
m0_60360828的博客
02-06 1400
目录一、Cgroup基本信息二、CPU使用率控制1、CPU使用率基本信息2、CPU使用率控制的方式3、利用stress压力测试工具来进行测试4、CPU周期5、限制CPU内核的使用三、内存限额四、Block I/O的限制五、bps和iops的限制 一、Cgroup基本信息 ​ docker中对资源进行控制的方式是使用Cgroup,开控制资源,K8S中也有limit来控制资源 ​ docker通过Cgroup来控制勇气使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖常见的资源配额和使用量控制
进程与cgroup
最新发布
qq_43573047的博客
03-09 667
int level;//当前 cgroup 在层次结构中的深度//分别表示当前 cgroup 子树中存活的和正在销毁的 cgroup 数量//这是一个数组,资源列表//指向当前 cgroup 所属的 cgroup_root//关联的 css_set//存储与当前 cgroup 关联的 PID 列表。//存储当前 cgroup 的所有祖先...//表示该 cgroup 层次结构在内核文件系统中的根节点。
cgroup
victorzzzz的专栏
04-12 411
cgroups 是Linux内核提供的一种可以限制单个进程或者多个进程所使用资源的机制,可以对 cpu,内存等资源实现精细化的控制 比如可以通过cgroup限制特定进程的资源使用,比如使用特定数目的cpu核数和特定大小的内存,如果资源超限的情况下,会被暂停或者杀掉。 关系梳理: 任务(task): 在cgroup中,任务就是一个进程。 控制组(control group): cgrou...
Cgroup简介-概述
走不动的蜗牛的专栏
07-31 1万+
Cgroup(Control Groups)是这样一种机制:它以分组的形式对进程使用系统资源的行为进行管理和控制。也就是说,用户通过cgroup对所有进程进行分组,再对该分组整体进行资源的分配和控制。 1 Cgroup的结构 cgroup中的每个分组称为进程组,它包含多个进程。最初情况下,系统内的所有进程形成一个进程组(根进程组),根据系统对资源的需求,这个根进程组将被进一步细分为子进
什么是Cgroups
02-25 1516
(转自http://pythonic.me/Cgroups.html)cgroups(Control Group)是Linux内核的功能,简单的说,它对进程分组,然后以组为单位进行资源调度和分配,另外还能记录组内进程使用的资源数量(内存、CPU等)。什么时候要用cgroups如果一台机器是给多个人共享,对有些用户,你希望多分配一些资源,对另外一些用户,少分配一些资源,这时候就可以用cgroups。如
docker资源限制——cgroup
wangwei1110a的博客
01-19 1316
docker资源限制——cgroup 一、介绍 Docker通过cgoup来控制容器使用的资源配额,包括cpu、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。 cgroup是control groups的缩写,是Linux 内核提供的一个特性,用于限制和隔离一组进程对系统资源的使用。对不同资源的具体管理是由各个子系统分工完成的。 二、cpu资源控制 1.对cpu使用率控制 linux通过CFS来调度各个进程对cpu的使用。CFS默认的调度周期是100ms。我们可以设置每个容器进程的调度周期,以
Docker——Cgroup资源配置
weixin_51613313的博客
03-30 431
Cgroup一、Dcker资源控制的作用二、Cgroup 资源配置方法2.1 使用 stress 工具测试 CPU 和内存2.2 CPU 周期限制2.3 CPU Core 控制2.4 CPU 配额控制参数的混合使用2.5 内存限额2.6 Block IO的限制2.7 bps 和 iops 的限制 一、Dcker资源控制的作用 一般来说,容器默认是没有资源限制的,会最大程度使用宿主机的资源。在Linux主机上,如果内核检测到没有足够的内存来执行重要的系统功能,它会抛出一个OOME(Out Of Memory
runC源码分析——cgroup
WaltonWang's Blog
12-27 1万+
runC中cgroup相关部分代码的解读。由于代码本身和原理都相对简单,安静的读一遍代码即可。
docker cgroup
Pyy0928的博客
04-06 346
文章目录一、Cgroup概念二、stress测试工具1.权重(--cpu-shares)2.cpu core控制 (--cpuset-spus)3.CPU周期限制 (--cpu-period、--cpu-quota)三、CPU配额控制参数四、Block IO限制1.bps和iops的限制五、内存限额 一、Cgroup概念 Cgroup是Control Groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如CPU、内存、磁盘IO等等)的机制 Docker通过Cgroup
漫谈cgroup
linus.lin的博客
01-28 1168
cgrouplinux内核的一个功能,用来限制、控制与分离一个进程组的资源(如CPU、内存、磁盘I/O等)。它是由 Google 的两位工程师进行开发的,自 2008 年 1 月正式发布的 Linux 内核 v2.6.24 开始提供此能力。cgroup 到目前为止,有两个大版本, cgroup v1 和 v2。以下内容以 cgroup v2 版本为主,涉及两个版本差别的地方会在下文详细介绍。CPU内存网络磁盘 I/O。
Linux资源隔离基础(一):cgroup
m0_50499434的博客
10-29 2043
Linux内核负责系统中所有硬件的可靠交互。这不仅包括使操作系统理解硬件的必要代码,还涉及限制特定程序对系统资源的占用。内核必须将系统内存合理分配给各个应用程序,以确保计算机的正常运行。通常情况下,Linux系统可以让大多数应用程序无限制地运行,而不会出现问题,因为应用程序间能够良好地协同工作。但是,如果某个程序出现故障并开始占用所有可用内存,会发生什么呢?为应对此类情况,内核引入了OOM(Out Of Memory) Killer机制。
CGroup操作
程序员的世界
06-26 1289
一、cgroup简介 1.1、cgroup子系统 cgroup支持多种维度的限制,具体如下: 子系统 说明 blkio 这​​​个​​​子​​​系​​​统​​​为​​​块​​​设​​​备​​​设​​​定​​​输​​​入​​​/输​​​出​​​限​​​制​​​,比​​​如​​​物​​​理​​​设​​​备​​​(磁​​​盘​​​,固​​​态​​​硬​​​盘​​​,USB 等​​​等​​​) cpu 这​​​个​​​子​​​系​​​统​​​使​​​用​​​调​​​度​​​程​​​序
容器技术——Cgroup
General_zy的博客
11-26 2262
物理机利用率上去了;服务器宕机了,所有应用都会宕机;需求:1. 把单台物理机的利用率提高;2. 把应用分散到逻辑上不同的主机中,应该做到不同应用的环境隔离,分离出不同职能的应用,如负责负载均衡,负责数据库…的应用虚拟化技术:为了同时满足上述两个需求,于是诞生了虚拟化技术,例如win下的vmware workstation,linux下的kvm,还有esxi、xen等;
Cgroup概述
热门推荐
GaoChuang_的博客
12-04 1万+
一、Cgroup的目的 Cgroup和namespa类似,也是将进程进程分组,但是目的与namespace不一样,namespace是为了隔离进程组之前的资源,而Cgroup是为了对一组进程进行统一的资源监控和限制。 二、为什么需要CgroupLinux里,对进程进程分组,比如Session group、process group等,后来需要追踪一组进程的内存和IO使用情况,出现了cgroup,用来统一对进程进行分组,并在分组的基础上对进程进程监控和资源控制管理等。 三、...
cgroup相关
wasd12121212的博客
01-04 565
subsystem 一个subsystem就是一个内核模块,他被关联到一颗cgroup树之后,就会在树的每个节点(进程组)上做具体的操作。subsystem经常被称作"resource controller",因为它主要被用来调度或者限制每个进程组的资源,但是这个说法不完全准确,因为有时我们将进程分组只是为了做一些监控,观察一下他们的状态,比如perf_event subsystem。到目前为...
docker容器的资源配置
weixin_41648905的博客
11-16 1368
Docker是通过 Cgroup ,来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。 Cgroup 资源配置方法 Cgroup 是 Control Groups 的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等)的机制, 被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配控制等具体的资源管理是通过
Cgroup详解
weixin_42787605的博客
08-19 506
cgroup
docker CGROUP SYSTEMD
01-05
### 修改 Docker 使用 Systemd 作为 Cgroup Driver 为了确保 Kubernetes 和 Dockercgroup 驱动程序保持一致,通常建议将 Dockercgroup 驱动设置为 `systemd`。这可以通过编辑 `/etc/docker/daemon.json` 文件来实现。 #### 编辑 Daemon JSON 文件 在文件中加入如下配置: ```json { "exec-opts": ["native.cgroupdriver=systemd"] } ``` 保存并退出编辑器后,重启 Docker 服务以应用更改[^1]。 #### 检查当前的 Cgroup Driver 设置 执行命令查看 Docker 当前使用的 cgroup 驱动是否已更改为 `systemd`: ```bash docker info | grep 'Cgroup' ``` 如果一切正常,则应看到输出显示 `Cgroup Driver: systemd`[^2]。 #### 处理潜在冲突 需要注意的是,在某些情况下可能会遇到由于重复定义而导致的问题——即在同一位置既指定了 `native.cgroupdriver=systemd` 又有其他相同参数的存在。为了避免这种情况发生,请确认 `/lib/systemd/system/docker.service` 或者任何自定义的服务单元文件里没有相同的选项被指定。如果有,请移除这些冗余项后再尝试启动 Docker[^3]。 #### 关于资源约束配置 对于希望进一步控制容器内应用程序行为的需求方来说,还可以利用 Docker 提供的各种资源限制机制来进行精细化管理。例如,通过调整 `--cpus` 参数可限定某个特定容器所能占用的最大 CPU 数量;而当涉及到网络连接时,则可能需要用到像 `iptables` 这样的工具配合操作系统的路由表进行流量导向等高级设定[^4]。 #### 实践案例:压力测试环境搭建 假设现在有一个场景是要模拟高负载情况下的系统表现,那么可以在多个容器内部署同样的工作负载生成器(比如使用 `stress` 工具),并通过宿主机上的相应设置允许它们访问外部互联网从而形成完整的实验闭环。具体做法包括但不限于向系统配置追加必要的 IP 转发指令以及安装所需的软件包等等[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值