淺談Cgroups

時間 2019-12-05

標籤淺談 cgroups 欄目 Docker 简体版

原文原文鏈接

奇技指南
在開發一款軟件時，爲了延長軟件的生命週期，須要一款配套軟件來對發佈的軟件進行監控。隨着容器技術的成熟，系統的定製和軟件的打包變得愈來愈容易，同時，對容器進行監控成爲了容器使用者所必備的技能。下來，做者將帶領你們認識一下容器的資源管理工具Cgroups。

提及容器監控，首先會想到經過Cadvisor, Docker stats等多種方式獲取容器的監控數據，並同時會想到容器經過Cgroups實現對容器中的資源進行限制。可是這些數據來自哪裏，而且如何計算的？答案是Cgroups。最近在寫docker容器監控組件，在深刻Cadvisor和Docker stats源碼發現數據都來源於Cgroups。瞭解之餘，並對Cgroups作下筆記。html

0一、Cgroups介紹

Cgroups 是 control groups 的縮寫，是Linux內核提供的一種能夠限制，記錄，隔離進程組(process groups)所使用物理資源的機制。最初有google工程師提出，後來被整合進Linux的內核。所以，Cgroups爲容器實現虛擬化提供了基本保證，是構建Docker,LXC等一系列虛擬化管理工具的基石。linux

0二、Cgroups做用

資源限制(Resource limiting):
Cgroups能夠對進程組使用的資源總額進行限制。如對特定的進程進行內存使用上限限制，當超出上限時，會觸發OOM。
優先級分配(Prioritization): 經過分配的CPU時間片數量及硬盤IO帶寬大小，實際上就至關於控制了進程運行的優先級。
資源統計(Accounting): Cgroups能夠統計系統的資源使用量，如CPU使用時長、內存用量等等，這個功能很是適用於計費。
進程控制(ControlCgroups): 能夠對進程組執行掛起、恢復等操做。

0三、Cgroups 組成

Cgroups主要由task,cgroup,subsystem及hierarchy構成。下面分別介紹下各自的概念。docker

task: 在Cgroups中，task就是系統的一個進程。
cgroup: Cgroups中的資源控制都以cgroup爲單位實現的。cgroup表示按照某種資源控制標準劃分而成的任務組，包含一個或多個子系統。一個任務能夠加入某個cgroup，也能夠從某個cgroup遷移到另一個cgroup。
subsystem: Cgroups中的subsystem就是一個資源調度控制器（Resource Controller）。好比CPU子系統能夠控制CPU時間分配，內存子系統能夠限制cgroup內存使用量。
hierarchy: hierarchy由一系列cgroup以一個樹狀結構排列而成，每一個hierarchy經過綁定對應的subsystem進行資源調度。hierarchy中的cgroup節點能夠包含零或多個子節點，子節點繼承父節點的屬性。整個系統能夠有多個hierarchy。

組件之間的關係

Subsystems, Hierarchies,Control Group和Tasks之間有許多的規則，下面介紹下:
一、同一個hierarchy可以附加一個或多個subsystem。
以下圖，將cpu和memory subsystems(或者任意多個subsystems)附加到同一個hierarchy。shell

二、一個subsystem只能附加到一個hierarchy上。
以下圖，cpu subsystem已經附加到了hierarchy A，而且memory subsystem已經附加到了hierarchy B。所以cpusubsystem不能在附加到hierarchy B。centos

三、系統每次新建一個hierarchy時，該系統上的全部task默認構成了這個新建的hierarchy的初始化cgroup，這個cgroup也稱爲root cgroup。對於你建立的每一個hierarchy，task只能存在於其中一個cgroup中，即一個task不能存在於同一個hierarchy的不一樣cgroup中，可是一個task能夠存在在不一樣hierarchy中的多個cgroup中。若是操做時把一個task添加到同一個hierarchy中的另外一個cgroup中，則會從第一個cgroup中移除。
以下圖，cpu和memory被附加到cpu_mem_cg的hierarchy。而net_cls被附加到net_cls hierarchy。而且httpd進程被同時加到了cpu_mem_cg hierarchy的cg1 cgroup中和net hierarchy的cg3 cgroup中。並經過兩個hierarchy的subsystem分別對httpd進程進行cpu,memory及網絡帶寬的限制。微信

四、系統中的任何一個task(Linux中的進程)fork本身建立一個子task(子進程)時，子task會自動的繼承父task cgroup的關係，在同一個cgroup中，可是子task能夠根據須要移到其它不一樣的cgroup中。父子task之間是相互獨立不依賴的。
以下圖，httpd進程在cpu_and_mem hierarchy的/cg1 cgroup中並把PID 4537寫到該cgroup的tasks中。以後httpd(PID=4537)進程fork一個子進程httpd(PID=4840)與其父進程在同一個hierarchy的統一個cgroup中，可是因爲父task和子task之間的關係獨立不依賴的，因此子task能夠移到其它的cgroup中。網絡