容器核心技術(shù)Cgroups和Namespace

| 什么是Cgroups

簡單一句話描述Cgroups：Cgroups是Linux內(nèi)核提供的一種可以限制單個進程或者多個進程所使用資源的機制，可以對 cpu，內(nèi)存等資源實現(xiàn)精細(xì)化的控制。
Cgroups全稱是Control Groups，Cgroup為每種可以控制的資源都定義了一個子系統(tǒng)。它的子系統(tǒng)有：

cpu子系統(tǒng)：限制進程的cpu使用率；

cpuacct子系統(tǒng)：統(tǒng)計Cgroups中進程cpu使用報告；

cpuset子系統(tǒng)：為Cgroups中的進程分配單獨的cpu節(jié)點或者內(nèi)存節(jié)點；

memory子系統(tǒng)：限制進程的memory使用量；

blkio子系統(tǒng)：限制進程的塊設(shè)備io；

devices子系統(tǒng)：控制進程能夠訪問某些設(shè)備；

net_cls子系統(tǒng)：標(biāo)記cgroups中進程的網(wǎng)絡(luò)數(shù)據(jù)包，然后可以使用tc模塊（traffic control）對數(shù)據(jù)包進行控制；

freezer子系統(tǒng)：掛起或者恢復(fù)cgroups中的進程；

其它的具體可以通過這個命令查看：

ls /sys/fs/cgroup/

cd /sys/fs/cgroup/cpu


mkdir container


ls container #下面會自動生成諸多文件，這些文件就是資源限制文件


cgroup.clone_children  

cpuacct.usage         

cpuacct.usage_percpu_sys   

cpuacct.usage_user  

cpu.rt_period_us   

cpu.stat


cgroup.procs           

cpuacct.usage_all     

cpuacct.usage_percpu_user  

cpu.cfs_period_us   

cpu.rt_runtime_us  

notify_on_release


cpuacct.stat           

cpuacct.usage_percpu  

cpuacct.usage_sys          

cpu.cfs_quota_us    

cpu.shares         

tasks

while : ; do : ; done &  #這樣會做一個死循環(huán)進程，會導(dǎo)致cpu達到100%




[1] 39963

[root@localhost container]# cat cpu.cfs_quota_us  ##-1表示未做任何限制


-1 


[root@localhost container]# cat cpu.cfs_period_us  ##這里的100000為us，也就是100ms


100000

echo 30000 > cpu.cfs_quota_us  ##改為30ms，意思是100ms內(nèi)，將cpu的限額最多給到30ms，也就是30%

echo  39963 > tasks

| 總結(jié)Cgroups

Linux Cgroups的設(shè)計還是比較易用的，簡單粗暴地理解呢，它就是一個子系統(tǒng)目錄加上一組資源限制文件的組合。

而對于Docker等Linux容器項目來說，它們只需要在每個子系統(tǒng)下面，為每個容器創(chuàng)建一個控制組（即創(chuàng)建一個新目錄），然后在啟動容器進程之后，把這個進程的PID填寫到對應(yīng)控制組的tasks文件中就可以了。

而至于在這些控制組下面的資源文件里填上什么值，就靠用戶啟動容器時的參數(shù)指定了。

| 什么是Namespace

Namespace（命名空間）是一種隔離機制，用于將全局系統(tǒng)資源劃分為多個獨立的邏輯部分，以便不同的進程或應(yīng)用程序之間能夠使用不同的資源名稱或標(biāo)識符，避免沖突和混淆。

Linux的Namespace是一種由內(nèi)核直接提供的全局資源封裝，它是內(nèi)核針對進程設(shè)計的訪問隔離機制。

進程在一個獨立的 Linux Namespace中會認(rèn)為它擁有這臺 Linux 主機上的一切資源，不僅文件系統(tǒng)是獨立的，還有著獨立的 PID 編號（比如擁有自己的 0 號進程，即系統(tǒng)初始化的進程）、UID/GID 編號（比如擁有自己獨立的 root 用戶）、網(wǎng)絡(luò)（比如完全獨立的 IP 地址、網(wǎng)絡(luò)棧、防火墻等設(shè)置），等等。

| Namespace分類

事實上，Linux的Namespace設(shè)計最早只針對文件系統(tǒng)，但到了后來，要求系統(tǒng)隔離其他訪問操作的呼聲就愈發(fā)強烈，從 2006 年起，內(nèi)核陸續(xù)添加了UTS、IPC等命名空間隔離，后續(xù)Linux命名空間支持了以下八種資源的隔離（內(nèi)核的官網(wǎng)Kernel.org上仍然只列出了前六種，從 Linux 的 Man 命令能查到全部八種）：

容器技術(shù)的產(chǎn)生就是因為Linux的Namespace的存在，在Linux系統(tǒng)里要想運行多個容器，那么容器與宿主機之間、容器與容器之間必須要做到相互隔離，它們會認(rèn)為自己擁有了整個硬件以及軟件資源?？梢哉f如果沒有Namespace技術(shù)，就不會有容器技術(shù)。

審核編輯 ：李倩