Cgroups是control groups的縮寫,最初由Google工程師提出,后來編進linux內核。
Cgroups是實現IaaS虛擬化(kvm、lxc等),PaaS容器沙箱(Docker等)的資源管理控制部分的底層基礎。
百度私有PaaS雲就是使用輕量的cgoups做的應用之間的隔離,以下是關於百度架構師許立強,對於虛擬機VM,應用沙盒,cgroups技術選型的理解
本文用腳本運行示例進程,來驗證Cgroups關於cpu、內存、io這三部分的隔離效果。
測試機器:CentOS release 6.4 (Final)
啟動Cgroups
service cgconfig start #開啟cgroups服務
chkconfig cgconfig on #開啟啟動
在/cgroup,有如下文件夾,默認是多掛載點的形式,即各個子系統的配置在不同的子文件夾下
[root@localhost /]# ls /cgroup/ blkio cpu cpuacct cpuset devices freezer memory net_cls
cgroups管理進程cpu資源
跑一個耗cpu的腳本
x=0 while [ True ];do x=$x+1 done;
top可以看到這個腳本基本占了100%的cpu資源
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
30142 root 20 0 104m 2520 1024 R 99.7 0.1 14:38.97 sh
下面用cgroups控制這個進程的cpu資源
mkdir -p /cgroup/cpu/foo/ #新建一個控制組foo echo 50000 > /cgroup/cpu/foo/cpu.cfs_quota_us #將cpu.cfs_quota_us設為50000,相對於cpu.cfs_period_us的100000是50% echo 30142 > /cgroup/cpu/foo/tasks
然后top的實時統計數據如下,cpu占用率將近50%,看來cgroups關於cpu的控制起了效果
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 30142 root 20 0 105m 2884 1024 R 49.4 0.2 23:32.53 sh
cpu控制組foo下面還有其他的控制,還可以做更多其他的關於cpu的控制
[root@localhost ~]# ls /cgroup/cpu/foo/ cgroup.event_control cgroup.procs cpu.cfs_period_us cpu.cfs_quota_us cpu.rt_period_us cpu.rt_runtime_us cpu.shares cpu.stat notify_on_release tasks
cgroups管理進程內存資源
跑一個耗內存的腳本,內存不斷增長
x="a" while [ True ];do x=$x$x done;
top看內存占用穩步上升
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 30215 root 20 0 871m 501m 1036 R 99.8 26.7 0:38.69 sh 30215 root 20 0 1639m 721m 1036 R 98.7 38.4 1:03.99 sh 30215 root 20 0 1639m 929m 1036 R 98.6 49.5 1:13.73 sh
下面用cgroups控制這個進程的內存資源
mkdir -p /cgroup/memory/foo echo 1048576 > /cgroup/memory/foo/memory.limit_in_bytes #分配1MB的內存給這個控制組 echo 30215 > /cgroup/memory/foo/tasks
發現之前的腳本被kill掉
[root@localhost ~]# sh /home/test.sh 已殺死
因為這是強硬的限制內存,當進程試圖占用的內存超過了cgroups的限制,會觸發out of memory,導致進程被kill掉。
實際情況中對進程的內存使用會有一個預估,然后會給這個進程的限制超配50%比如,除非發生內存泄露等異常情況,才會因為cgroups的限制被kill掉。
也可以通過配置關掉cgroups oom kill進程,通過memory.oom_control來實現(oom_kill_disable 1),但是盡管進程不會被直接殺死,但進程也進入了休眠狀態,無法繼續執行,仍讓無法服務。
關於內存的控制,還有以下配置文件,關於虛擬內存的控制,以及權值比重式的內存控制等
[root@localhost /]# ls /cgroup/memory/foo/ cgroup.event_control memory.force_empty memory.memsw.failcnt
memory.memsw.usage_in_bytes memory.soft_limit_in_bytes memory.usage_in_bytes tasks cgroup.procs memory.limit_in_bytes memory.memsw.limit_in_bytes
memory.move_charge_at_immigrate memory.stat memory.use_hierarchy memory.failcnt memory.max_usage_in_bytes memory.memsw.max_usage_in_bytes
memory.oom_control memory.swappiness notify_on_release
cgroups管理進程io資源
跑一個耗io的腳本
dd if=/dev/sda of=/dev/null &
通過iotop看io占用情況,磁盤速度到了284M/s
30252 be/4 root 284.71 M/s 0.00 B/s 0.00 % 0.00 % dd if=/dev/sda of=/dev/null
下面用cgroups控制這個進程的io資源
mkdir -p /cgroup/blkio/foo echo '8:0 1048576' > /cgroup/blkio/foo/blkio.throttle.read_bps_device #8:0對應主設備號和副設備號,可以通過ls -l /dev/sda查看 echo 30252 > /cgroup/blkio/foo/tasks
再通過iotop看,確實將讀速度降到了1M/s
30252 be/4 root 993.36 K/s 0.00 B/s 0.00 % 0.00 % dd if=/dev/sda of=/dev/null
對於io還有很多其他可以控制層面和方式,如下
[root@localhost ~]# ls /cgroup/blkio/foo/ blkio.io_merged blkio.io_serviced blkio.reset_stats
blkio.throttle.io_serviced blkio.throttle.write_bps_device blkio.weight cgroup.procs blkio.io_queued blkio.io_service_time blkio.sectors
blkio.throttle.read_bps_device blkio.throttle.write_iops_device blkio.weight_device notify_on_release blkio.io_service_bytes blkio.io_wait_time blkio.throttle.io_service_bytes
blkio.throttle.read_iops_device blkio.time cgroup.event_control tasks
參考博文: