# Docker核心技术(二)cgroup资源使用限制

服务端 2022-02-28 20:58:19 阅读次数: 0

Docker核心技术-cgroup资源使用限制

cgroup(linux control group)

在了解了通过namespace可以实现在linux上对于资源隔离的管控,那么还有一个问题就是,我们即使通过namespace将不同进程隔离开,那么加入其中一个进程耗尽了主机的所有CPU和内存资源,那么其他进程即使通过ns进行了隔离,但因为主机没有可用的CPU和内存,那么也是无法工作的,另外我们也知道docker可以控制容器所使用的CPU和内存等资源,那么是怎么做到的呢?带着这些问题我们来看看linux是怎么通过cgroup来实现资源的控制和限制的。

cgroup示例

在linux中一切皆是文件,那么cgroup对于资源的限制肯定也是通过文件来实现的,我们可以在/sys/fs/cgroup目录中看到限制的对象。

[root@i-l7l18s0l cgroup]# pwd
/sys/fs/cgroup
[root@i-l7l18s0l cgroup]# ls cpu
cgroup.clone_children  cgroup.procs          cpuacct.stat   cpuacct.usage_percpu  cpu.cfs_quota_us  cpu.rt_runtime_us  cpu.stat  notify_on_release  system.slice  user.slice
cgroup.event_control   cgroup.sane_behavior  cpuacct.usage  cpu.cfs_period_us     cpu.rt_period_us  cpu.shares         docker    release_agent      tasks
[root@i-l7l18s0l cgroup]#
复制代码

查看cpu下的文件可以看到cfs_period_us和cfs_quota_us,通过组合使用这两个参数可以实现,限制进程在cfs_period_us的一段时间,只能被分配到总量为cfs_quota_us的CPU,下面我们通过一个示例来演示如何限制。

在/sys/fs/cgroup/cpu下新建一个new-cpu-limit目录, 同时查看目录可以看到对应的限制文件也会自动进行创建。

[root@i-l7l18s0l cpu]# mkdir new_cpu_limit
[root@i-l7l18s0l cpu]# ls
cgroup.clone_children  cgroup.procs          cpuacct.stat   cpuacct.usage_percpu  cpu.cfs_quota_us  cpu.rt_runtime_us  cpu.stat  new_cpu_limit      release_agent  tasks
cgroup.event_control   cgroup.sane_behavior  cpuacct.usage  cpu.cfs_period_us     cpu.rt_period_us  cpu.shares         docker    notify_on_release  system.slice   user.slice
[root@i-l7l18s0l cpu]#
[root@i-l7l18s0l cpu]# ls new_cpu_limit/
cgroup.clone_children  cgroup.procs  cpuacct.usage         cpu.cfs_period_us  cpu.rt_period_us   cpu.shares  notify_on_release
cgroup.event_control   cpuacct.stat  cpuacct.usage_percpu  cpu.cfs_quota_us   cpu.rt_runtime_us  cpu.stat    tasks
[root@i-l7l18s0l cpu]#
复制代码

写一个死循环占满CPU

[root@docker cpu]# while : ; do : ; done &
[1] 9240
[root@docker cpu]# top
复制代码

查看进程CPU使用率 image.png 查看new_cpu_limit目录下cfs_quota_us和cfs_period_us默认值

[root@docker cpu]# cd new_cpu_limit/
[root@docker new_cpu_limit]# cat cpu.cfs_quota_us
-1
[root@docker new_cpu_limit]# cat cpu.cfs_period_us
100000
[root@docker new_cpu_limit]#
复制代码

cpu.cfs_quota_us值为-1代表没有任何限制,cpu.cfs_period_us则是默认的100ms(100000us),接下来将new_cpu_limit控制组的cpu.cfs_quota_us文件写入50ms(50000),这表示在100ms周期内,cpu最多使用50%,同时将该进程的pid=9240写入对应的tasks文件,表示对pid=9240进程限制:

[root@docker new_cpu_limit]# echo 50000 > cpu.cfs_quota_us
[root@docker new_cpu_limit]# echo 9240 > tasks
复制代码

再次查看CPU使用率,检查是否cgroup控制生效,通过下面截图可以看到进程的cpu使用率降到了50%,也就是说我们的配置生效了 image.png 通过以上例子可以知道linux是怎么限制进程的资源使用情况的。

docker容器资源限制

上面的示例讲解了linux对于资源的限制,那么我们接下来看下docker对于容器资源的限制是怎么做的。 通过命令docker inspect $containerId --format {{}}

[root@docker ~]# docker inspect 583d44c9ac18
[root@docker ~]# docker inspect 583d44c9ac18
[
    {
        "Id": "583d44c9ac18f0134be6529b448539196c895b137db2aa77b54317a22e3f9f51",
        "Created": "2022-01-29T07:53:17.061823755Z",
        "Path": "./go-gin",
        "Args": [],
        "State": {
            ...
        },
        "Image": ...,
        "LogPath": "",
        "Name": "/relaxed_meninsky",
        "RestartCount": 0,
        "Driver": "overlay2",
        "MountLabel": "",
        "ProcessLabel": "",
        "AppArmorProfile": "",
        "ExecIDs": [
            "96e6e59418b86d5241733d6cb66e9f3872ad72ae30c1da0aa6789fab8ecce61b"
        ],
        "HostConfig": {
            "Binds": null,
            "ContainerIDFile": "",
            "LogConfig": {
                "Type": "journald",
                "Config": {}
            },
            "NetworkMode": "default",
            "PortBindings": {},
            "RestartPolicy": {
                "Name": "no",
                "MaximumRetryCount": 0
            },
            "AutoRemove": false,
            "VolumeDriver": "",
            "VolumesFrom": null,
            "CapAdd": null,
            "CapDrop": null,
            "Dns": ...,
            "ShmSize": 67108864,
            "Runtime": "docker-runc",
            "ConsoleSize": [
                0,
                0
            ],
            "Isolation": "",
            "CpuShares": 0,
            "Memory": 0,
            "NanoCpus": 0,
            "CgroupParent": "",
            "BlkioWeight": 0,
            "BlkioWeightDevice": null,
            "BlkioDeviceReadBps": null,
            "BlkioDeviceWriteBps": null,
            "BlkioDeviceReadIOps": null,
            "BlkioDeviceWriteIOps": null,
            "CpuPeriod": 0,
            "CpuQuota": 0,
            "CpuRealtimePeriod": 0,
            "CpuRealtimeRuntime": 0,
            "CpusetCpus": "",
            "CpusetMems": "",
            "Devices": [],
            "DiskQuota": 0,
            "KernelMemory": 0,
            "MemoryReservation": 0,
            "MemorySwap": 0,
            "MemorySwappiness": -1,
            "OomKillDisable": false,
            "PidsLimit": 0,
            "Ulimits": null,
            "CpuCount": 0,
            "CpuPercent": 0,
            "IOMaximumIOps": 0,
            "IOMaximumBandwidth": 0
        },
        "GraphDriver": {
            "Name": "overlay2",
            "Data": ...
            }
        },
        "Mounts": [],
        "Config": {
            "Hostname": "583d44c9ac18",
            "Domainname": "",
            "User": "",
            "AttachStdin": false,
            "AttachStdout": false,
            "AttachStderr": false,
            "ExposedPorts": {
                "8888/tcp": {}
            },
            "Tty": true,
            "OpenStdin": true,
            "StdinOnce": false,
            "Env": ...,
            "Cmd": null,
            "ArgsEscaped": true,
            "Image": "13227829078/gogin:v1.0",
            "Volumes": null,
            "WorkingDir": "/app",
            "Entrypoint": [
                "./go-gin"
            ],
            "OnBuild": null,
            "Labels": {}
        },
        "NetworkSettings": {
            "Bridge": "",,
            "MacAddress": "02:42:ac:11:00:02",
            "Networks": {
                "bridge": {
                    ...
                }
            }
        }
    }
]
复制代码

在{{.HosConfig}}中可以看到对于容器资源的限制,如图显示默认没有配置资源的限制,这是时候我们查看下对应的cgroup下文件是不是这样的。

[root@docker cpu]# pwd
/sys/fs/cgroup/cpu
[root@docker cpu]# ls
aegis   cgroup.clone_children  cgroup.procs          cpuacct.stat   cpuacct.usage_percpu  cpu.cfs_quota_us  cpu.rt_runtime_us  cpu.stat       notify_on_release  system.slice  user.slice
assist  cgroup.event_control   cgroup.sane_behavior  cpuacct.usage  cpu.cfs_period_us     cpu.rt_period_us  cpu.shares         new_cpu_limit  release_agent      tasks
[root@docker cgroup]# cat cpu/system.slice/docker-583d44c9ac18f0134be6529b448539196c895b137db2aa77b54317a22e3f9f51.scope/cpu.cfs_period_us
100000
[root@docker cgroup]# cat cpu/system.slice/docker-583d44c9ac18f0134be6529b448539196c895b137db2aa77b54317a22e3f9f51.scope/cpu.cfs_quota_us
-1
复制代码

可以看到在目录重新启动一个容器cpu/system.slice/docker-583d44c9ac18f0134be6529b448539196c895b137db2aa77b54317a22e3f9f51.scope下,确实有对应的限制文件,也是cgroup的默认参数。那么我们在重新启动一个容器,添加上对于cpu的限制再次查看

[root@docker cpu]# docker run -it -d --cpu-quota=50000 --cpu-period=120000 --name gogin 13227829078/gogin:v1.0
23cd79c0b5d73a395c2c6bfd2358c120523680ce047f447a867b8e51698ec31c
[root@docker cpu]# docker ps
CONTAINER ID        IMAGE                    COMMAND             CREATED             STATUS              PORTS               NAMES
23cd79c0b5d7        13227829078/gogin:v1.0   "./go-gin"          2 seconds ago       Up 2 seconds        8888/tcp            gogin
583d44c9ac18        13227829078/gogin:v1.0   "./go-gin"          2 hours ago         Up 2 hours          8888/tcp            relaxed_meninsky
[root@docker cpu]# ls
aegis   cgroup.clone_children  cgroup.procs          cpuacct.stat   cpuacct.usage_percpu  cpu.cfs_quota_us  cpu.rt_runtime_us  cpu.stat       notify_on_release  system.slice  user.slice
assist  cgroup.event_control   cgroup.sane_behavior  cpuacct.usage  cpu.cfs_period_us     cpu.rt_period_us  cpu.shares         new_cpu_limit  release_agent      tasks
[root@docker cpu]# docker inspect 23cd79c0b5d7
复制代码

可以看到添加的限制已经被使用 image.png 查看对应的cpu限制文件内容也是我们设置的值

[root@docker cgroup]# cat cpu/system.slice/docker-23cd79c0b5d73a395c2c6bfd2358c120523680ce047f447a867b8e51698ec31c.scope/cpu.cfs_quota_us
50000
[root@docker cgroup]# cat cpu/system.slice/docker-23cd79c0b5d73a395c2c6bfd2358c120523680ce047f447a867b8e51698ec31c.scope/cpu.cfs_period_us
120000
复制代码

到这里我们也清楚了docker通过cgroup可以实现对于资源用量的限制,关于更多的docker资源限制的设置可以通过docker run --help来进行查看。

猜你喜欢

转载自juejin.im/post/7068910469850873886
今日推荐
“开源信徒”周鸿祎开源360智脑大模型
华为ensp中vrrp虚拟路由器冗余协议 原理及配置命令
基于Python爬虫广东广州水酒店宾馆数据可视化系统设计与实现(Django框架) 研究背景与意义、国内外研究现状
知识融合:知识图谱构建的关键技术
文心一言收费还是免费:全面解析其价格策略与服务价值
百万用户通话新风潮:仅需50秒,无界AI让彩铃变身短视频
【STM32项目】基于STM32多传感器融合的新型智能导盲杖设计(完整工程资料源码)
文生视频大模型Sora的复现经验
腾讯云函数计算技术:云原生架构下的Serverless与微服务新篇章
干货分享|JumpServer 三种常见的文件传输方式效果对比
【榜单公布】2023年度征文活动已结束
周排行
Java中关于时间的操作及格式化
《HTML5与CSS3基础教程》第五章学习笔记 图像
nginx下安装PHP发生问题的逐步解决
HDU-1048,The Hardest Problem Ever(字符串处理)
新一代多媒体技术与应用的部分课后题
Shader 绘制特殊图形
Oracle数据库三种备份方案
CodeForces - 983B XOR-pyramid(两次区间DP/记忆化DFS)
Python3基础语法——变量与运算符
(转载)KMP算法详解 (原创)详解KMP算法
每日归档
更多
2024-04-16(70)
2024-04-15(42)
2024-04-14(0)
2024-04-13(119)
2024-04-12(38)
2024-04-11(14)
2024-04-10(68)
2024-04-09(5)
2024-04-08(60)
2024-04-07(4)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022