Linux内核中的cgroups技术详解

最新推荐文章于 2026-05-30 22:29:55 发布
原创 最新推荐文章于 2026-05-30 22:29:55 发布 · 306 阅读 · 104 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#linux #系统内核 #嵌入式

Linux内核中的cgroups技术详解

引言

cgroups(Control Groups)是Linux内核中用于限制、记录和隔离进程组资源使用的机制。它为容器技术、资源管理和服务质量保证提供了基础。cgroups允许管理员精细地控制系统资源的分配,确保关键任务获得足够的资源,同时防止单个进程过度消耗系统资源。本文将深入探讨Linux内核中的cgroups技术,包括其设计原理、实现机制、应用场景等。

cgroups的基本概念

1. 什么是cgroups

cgroups是Linux内核中的一种机制,用于限制、记录和隔离进程组的资源使用(如CPU、内存、磁盘I/O、网络等)。cgroups可以将进程组织成层次化的树状结构,每个节点可以设置不同的资源限制。

2. cgroups的历史

  • 2006年:Google工程师Paul Menage和Rohit Seth开始开发cgroups
  • Linux 2.6.24:cgroups首次引入Linux内核
  • Linux 2.6.29:cgroups成为内核的正式部分
  • Linux 3.x:cgroups功能不断扩展和完善
  • Linux 4.5:cgroups v2(统一层次结构)引入

3. cgroups的优势

  • 资源限制:限制进程组的资源使用
  • 资源监控:监控进程组的资源使用情况
  • 资源隔离:隔离不同进程组的资源
  • 优先级管理:设置进程组的资源使用优先级
  • 自动化管理:通过文件系统接口进行管理

cgroups的架构

1. cgroups的组件

  • 子系统(Subsystems):也称为控制器(Controllers),负责管理特定类型的资源
  • 层级(Hierarchy):进程组的树状结构
  • 控制组(Control Group):层级中的节点,包含一组进程和相关的资源限制
  • 任务(Task):进程或线程

2. cgroups的子系统

  • cpu:限制CPU使用
  • cpuacct:统计CPU使用情况
  • cpuset:分配特定的CPU和内存节点
  • memory:限制内存使用
  • devices:控制设备访问
  • freezer:挂起或恢复进程组
  • net_cls:标记网络数据包
  • blkio:限制块设备I/O
  • net_prio:设置网络流量优先级
  • hugetlb:限制大页使用
  • pids:限制进程数量

3. cgroups的层级结构

cgroups的层级结构是一个树状结构,每个层级可以附加一个或多个子系统。进程可以属于多个层级,但在每个层级中只能属于一个控制组。

hierarchy1 (cpu, cpuacct)
├── group1
│   ├── process1
│   └── process2
└── group2
    └── process3

hierarchy2 (memory)
├── groupA
│   ├── process1
│   └── process3
└── groupB
    └── process2

cgroups的实现

1. cgroups的文件系统接口

cgroups通过虚拟文件系统(cgroupfs)提供用户空间接口,默认挂载在/sys/fs/cgroup目录。

# 查看cgroups挂载点
mount | grep cgroup

# 查看可用的子系统
ls /sys/fs/cgroup/

2. cgroups的基本操作

创建控制组
# 在cpu子系统中创建控制组
sudo mkdir /sys/fs/cgroup/cpu/mygroup

# 设置CPU限制
sudo echo 50000 > /sys/fs/cgroup/cpu/mygroup/cpu.cfs_quota_us
sudo echo 100000 > /sys/fs/cgroup/cpu/mygroup/cpu.cfs_period_us
将进程加入控制组
# 将进程加入控制组
sudo echo <pid> > /sys/fs/cgroup/cpu/mygroup/cgroup.procs

# 运行进程时指定控制组
sudo cgexec -g cpu:mygroup command
查看控制组状态
# 查看控制组中的进程
cat /sys/fs/cgroup/cpu/mygroup/cgroup.procs

# 查看CPU使用情况
cat /sys/fs/cgroup/cpuacct/mygroup/cpuacct.usage

3. cgroups的内核实现

cgroups的内核实现主要包括以下部分:

  • cgroup核心:管理层级和控制组
  • 子系统:实现特定资源的管理
  • 文件系统接口:提供用户空间访问
cgroup核心数据结构
// 控制组结构体
struct cgroup {
    struct cgroup_subsys_state *subsys[CGROUP_SUBSYS_COUNT];
    struct list_head children;
    struct cgroup *parent;
    struct dentry *dentry;
    // 其他字段...
};

// 子系统状态结构体
struct cgroup_subsys_state {
    struct cgroup *cgroup;
    // 子系统特定数据...
};

// 子系统结构体
struct cgroup_subsys {
    struct cgroup_subsys_state *(*create)(struct cgroup *cgrp);
    void (*destroy)(struct cgroup *cgrp);
    int (*can_attach)(struct cgroup *cgrp, struct task_struct *tsk);
    void (*attach)(struct cgroup *cgrp, struct task_struct *tsk);
    // 其他方法...
};

cgroups的应用场景

1. 容器技术

cgroups是容器技术的核心组件之一,它为容器提供资源隔离和限制。

  • Docker:使用cgroups限制容器的CPU、内存、磁盘I/O等资源
  • Kubernetes:通过cgroups管理Pod的资源使用
  • LXC:使用cgroups实现容器的资源隔离

2. 系统资源管理

cgroups可以用于系统资源的管理和优化。

  • 限制后台任务:限制后台任务的CPU和内存使用
  • 保证关键服务:为关键服务预留足够的资源
  • 资源使用监控:监控系统各部分的资源使用情况

3. 服务质量保证

cgroups可以用于提供服务质量保证(QoS)。

  • 网络QoS:使用net_cls和net_prio子系统设置网络流量优先级
  • 存储QoS:使用blkio子系统限制磁盘I/O
  • 计算QoS:使用cpu子系统限制CPU使用

4. 安全隔离

cgroups可以与其他安全机制结合,提供更强的隔离。

  • 与SELinux结合:提供更全面的安全隔离
  • 与命名空间结合:提供进程和网络隔离
  • 限制资源使用:防止DoS攻击

cgroups的工具生态

1. 核心工具

  • cgroup-tools:cgroups的命令行工具

    • cgcreate:创建控制组
    • cgdelete:删除控制组
    • cgexec:在控制组中执行命令
    • cgclassify:将进程加入控制组

  • libcgroup:cgroups的库,提供编程接口

2. 监控工具

  • cgroup-monitor:监控cgroups的资源使用
  • cgtop:类似top的cgroups监控工具
  • systemd-cgtop:systemd提供的cgroups监控工具

3. 管理工具

  • systemd:通过systemd.slice管理cgroups
  • lxc-cgroup:LXC的cgroups管理工具
  • docker stats:Docker的资源使用监控

cgroups的性能优化

1. 层级结构优化

  • 合理组织层级:根据资源管理需求组织层级结构
  • 减少层级深度:避免过深的层级结构
  • 共享层级:将相关的子系统放在同一层级

2. 资源限制优化

  • 合理设置限制:根据实际需求设置资源限制
  • 避免过度限制:避免设置过于严格的资源限制
  • 动态调整:根据负载动态调整资源限制

3. 监控优化

  • 定期监控:定期监控资源使用情况
  • 设置告警:当资源使用超过阈值时告警
  • 分析趋势:分析资源使用趋势,提前调整

cgroups的安全

1. cgroups的安全机制

  • 权限控制:通过文件系统权限控制对cgroups的访问
  • 资源限制:限制进程的资源使用,防止DoS攻击
  • 隔离:隔离不同进程组的资源

2. cgroups的安全最佳实践

  • 最小权限:只授予必要的cgroups访问权限
  • 合理设置限制:设置合理的资源限制,防止资源滥用
  • 监控:监控cgroups的使用情况,及时发现异常
  • 结合其他安全机制:与SELinux、AppArmor等安全机制结合

cgroups v2

1. cgroups v2的新特性

  • 统一层次结构:所有子系统共享同一层级结构
  • 简化的接口:更简洁的文件系统接口
  • 改进的资源管理:更细粒度的资源管理
  • 更好的隔离:更强的资源隔离能力

2. cgroups v2的使用

# 挂载cgroups v2
mount -t cgroup2 none /sys/fs/cgroup

# 创建控制组
mkdir /sys/fs/cgroup/mygroup

# 设置资源限制
echo "max 1G" > /sys/fs/cgroup/mygroup/memory.max
echo "50000" > /sys/fs/cgroup/mygroup/cpu.max

# 将进程加入控制组
echo <pid> > /sys/fs/cgroup/mygroup/cgroup.procs

3. cgroups v2与v1的兼容性

  • 向后兼容:cgroups v2支持与v1共存
  • 迁移路径:提供从v1到v2的迁移路径
  • 默认版本:新系统默认使用v2

实际案例分析

案例:使用cgroups限制容器资源

问题:需要限制Docker容器的CPU和内存使用

分析

  • 使用cgroups的cpu和memory子系统
  • 设置合理的资源限制
  • 监控容器的资源使用情况

解决方案

# 运行容器时设置资源限制
docker run --cpus=0.5 --memory=512m nginx

# 查看容器的cgroups配置
docker inspect <container_id> | grep -A 20 "Cgroup"

# 监控容器的资源使用
docker stats <container_id>

案例:使用cgroups保证关键服务的资源

问题:需要保证数据库服务的CPU和内存资源

分析

  • 创建专门的控制组
  • 设置资源限制和优先级
  • 将数据库进程加入控制组

解决方案

# 创建控制组
sudo cgcreate -g cpu,memory:database

# 设置CPU限制(保证50%的CPU时间)
sudo cgset -r cpu.cfs_quota_us=50000 database
sudo cgset -r cpu.cfs_period_us=100000 database

# 设置内存限制
sudo cgset -r memory.limit_in_bytes=2G database

# 将数据库进程加入控制组
sudo cgclassify -g cpu,memory:database $(pgrep postgres)

# 查看控制组状态
sudo cgget -g cpu,memory:database

案例:使用cgroups监控系统资源使用

问题:需要监控系统各部分的资源使用情况

分析

  • 创建控制组层次结构
  • 监控各控制组的资源使用
  • 分析资源使用趋势

解决方案

# 创建控制组层次结构
sudo cgcreate -g cpuacct,memory:system
sudo cgcreate -g cpuacct,memory:system/web
sudo cgcreate -g cpuacct,memory:system/database
sudo cgcreate -g cpuacct,memory:system/background

# 将进程加入相应的控制组
sudo cgclassify -g cpuacct,memory:system/web $(pgrep nginx)
sudo cgclassify -g cpuacct,memory:system/database $(pgrep postgres)
sudo cgclassify -g cpuacct,memory:system/background $(pgrep cron)

# 监控资源使用
while true; do
    echo "=== Web Server ==="
    cat /sys/fs/cgroup/cpuacct/system/web/cpuacct.usage
    cat /sys/fs/cgroup/memory/system/web/memory.usage_in_bytes
    echo "=== Database ==="
    cat /sys/fs/cgroup/cpuacct/system/database/cpuacct.usage
    cat /sys/fs/cgroup/memory/system/database/memory.usage_in_bytes
    echo "=== Background ==="
    cat /sys/fs/cgroup/cpuacct/system/background/cpuacct.usage
    cat /sys/fs/cgroup/memory/system/background/memory.usage_in_bytes
    sleep 1
 done

结论

cgroups是Linux内核中一项重要的资源管理技术,它为容器技术、系统资源管理和服务质量保证提供了基础。通过深入了解cgroups的设计原理、实现机制和应用场景,我们可以更好地利用cgroups技术解决实际问题。

随着cgroups技术的不断发展和完善,特别是cgroups v2的引入,它将在更多领域发挥重要作用,如边缘计算、物联网、人工智能等。作为内核开发者和系统管理员,掌握cgroups技术是非常重要的,它将为我们提供一种强大的工具,用于解决系统资源管理和隔离问题。

通过本文的介绍,相信读者对cgroups技术有了更深入的了解,能够开始使用cgroups技术解决实际问题。在未来的工作中,我们可以继续探索cgroups的更多应用场景,为系统的资源管理和优化做出贡献。

钟哩哩
关注
linux中cgroup的简单使用
Java+GO+JS全栈工程师-鹤冲天的博客:编程辅导~商务合作~技术交流
07-21 4319
Linux CGroup全称Linux Control Group, 是Linux内核的一个功能,用来限制,控制与分离一个进程组群的资源(如CPU、内存、磁盘输入输出等)。这个项目最早是由Google的工程师在2006年发起(主要是Paul Menage和Rohit Seth),最早的名称为进程容器(process containers)。在2007年时,因为在Linux内核中,容器(container)这个名词太过广泛,为避免混乱,被重命名为cgroup,并且被合并到2.6.24版的内核中去。
cgroup控制资源
一个废人的博客
12-29 1217
cgroup控制资源
cgroup底层技术研究一、cgroup简介与cgroup命令行工具
phmatthaus的专栏
02-26 1548
cgroup底层技术研究一、cgroup简介与cgroup命令行
Linux使用cgroup限制程序资源
kongxx的专栏
08-03 2080
以前一直在使用Docker来封装并限制容器资源,从而实现限制进程资源的目的。但Linux Docker底层是基于cgroup来实现的,于是乎今天就想起来试试直接使用cgroup来限制进程资源。 下面就以要限制一个程序的内存为例,来看看怎么实现限制资源。对于其它的资源限制都可以使用类似方法。 为了测试程序对内存的占用,先准备个python程序来消耗内存,代码如下: #!/usr/bin/python...
手机检测系统资源限制:cgroups限制DAMO-YOLO内存/CPU使用上限
weixin_42186015的博客
03-20 495
本文介绍了如何在星图GPU平台上自动化部署实时手机检测-通用基于基于 DAMO-YOLO 和 TinyNAS WebUI 镜像,实现高效的手机目标检测。通过该平台,用户可以快速搭建手机检测系统,应用于智能安防监控、零售场景分析等实际场景,有效提升检测效率并优化资源管理。
Cgroups(Control Groups)是 Linux 内核技术总结
weixin_40426261的博客
12-03 587
CgroupsLinux 内核中强大的资源管理工具,通过对 CPU、内存、I/O 和网络等资源的细粒度控制,实现了进程组的隔离和限制。Cgroups(Control Groups)是 Linux 内核提供的一个功能,用于限制、记录和隔离进程组所使用的系统资源(如 CPU、内存、磁盘 I/O 等)。cpu.cfs_quota_us 和 cpu.cfs_period_us:设置 CPU 时间配额和周期,实现 CPU 限制。功能:控制进程组的块设备 I/O(如磁盘 I/O)使用,防止 I/O 饥饿。
Linux内核中的cgroups v2资源管理技术
jiang_style的博客
04-04 147
cgroups v2是Linux内核中一项重要的资源管理技术,它为我们提供了一种灵活、高效的方式来管理系统资源。对进程组进行资源限制和监控实现更严格的资源隔离为容器技术提供基础支持优化系统资源的使用作为内核开发者和系统管理员,掌握cgroups v2技术是非常重要的。它不仅是容器技术的基础,也是系统资源管理的重要工具。随着容器技术的不断发展和普及,cgroups v2的重要性将会越来越高。
四、Linux 内核容器技术深度解析系列-6-linux-kernel-container-cgroups-part1
m0_74823507的博客
03-10 45
Linux 内核容器技术CGroups 资源限制核心技术(第一部分)
深度拆解:从 Linux 内核 Namespace 与 Cgroups 洞察容器技术的底层本质
最新发布
2603_95976418的博客
05-30 207
《容器技术Linux内核原理剖析》 摘要:容器并非轻量级虚拟机,而是基于Linux内核机制的进程隔离技术。本文深入解析支撑容器技术的三大核心机制:1)Namespace实现进程资源视图隔离,通过8种命名空间(如PID、NET、MNT等)构建独立环境;2)Cgroups通过层级化资源控制(CPU、内存、I/O等)实现物理资源限制;3)OverlayFS联合文件系统采用多层镜像和写时复制技术,实现容器镜像的高效存储。这些机制共同作用,使容器既能共享宿主机内核,又能保持独立运行环境,兼具资源隔离与高效特性。理解
四、Linux 内核容器技术深度解析系列-7-linux-kernel-container-cgroups-part2
m0_74823507的博客
03-10 48
Linux 内核容器技术CGroups 资源限制核心技术 (第二部分)
Docker学习-03-容器技术所涉及Linux内核关键技术(了解)
qq_22772699的博客
05-30 2076
很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实际上实现了代码的隔在操作系统中命名空间命名空间提供的是系统资源的隔离,其中系统资源包括了:进程、网络、文件系统…实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境当中,以此达到独立和隔离的目的。
容器技术所涉及Linux内核关键技术
qq_64177395的博客
12-24 942
很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实际上实现了代码的隔离在操作系统中命名空间命名空间提供的是系统资源的隔离,其中系统资源包括了:进程、网络、文件系统…实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境当中,以此达到独立和隔离的目的。
Docker基础教程(四)容器技术原理之Cgroups:容器界的“预算总监”:Cgroups如何让你的程序不再吃垮服务器?
jxf_jxfcsdn的博客
09-13 421
CgroupsLinux内核的“资源管控大师”,像精明的财务总监一样为进程组分配CPU、内存等资源,防止某个应用吃光系统资源。通过 hierarchies、subsystems 和 tasks 三要素,它实现了容器资源的隔离与限制。本文用生动比喻和实际示例(包括CPU、内存限制及Docker实战),带你轻松掌握Cgroups的核心机制与操作技巧,确保你的服务器再也不会被“猪队友”程序拖垮!
Docker 核心技术Linux Cgroups
gulang0309的专栏
08-20 814
Linux Cgroups 作为 Docker 的技术核心之一,主要作用就是限制、控制和统计进程组的系统资源 ​​(如 CPU、内存、磁盘 I/O 等)。容器的本质其实就是 Linux 的一个进程,限制、控制和统计容器的系统资源,其实就是限制、控制和统计进程的系统资源,本文将从 Linux 内核源码的层面,谈谈如何通过 Cgroups 实现限制系统资源。
linux cgroup 学习的一些总结
刘光华的专栏
07-26 1197
hadoop cgroup, cgroup
使用cgroup限制进程的cpu资源
docker、kubernetes学习笔记
04-14 5324
今天尝试了一下使用cgroup (control group)来限制进程对CPU时间的使用。对于一个计算密集型的进程,要求只能使用10%的CPU时间。 准备工作: 1)准备一台CentOS 7服务器。 2)安装go环境。 3)安装cgexec命令。 [root@workstation cpu-01]# yum install libcgroup-tools.x86_64 -y Loaded plugins: fastestmirror Determining fastest m...
[转载] Docker背后的内核知识——cgroups资源限制
weixin_30802273的博客
04-20 482
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-cgroups-resource-isolation 上一篇中,我们了解了Docker背后使用的资源隔离技术namespace,通过系统调用构建一个相对隔离的shell环境,也可以称之为一个简单的“容器”。本文我们则要开始讲解另一个强大的内核工具——cgrou...
Cgroup和Namespace在测试中的使用(上)
weixin_34367257的博客
08-07 420
Cgroup和Namespace在测试中的使用(上) 很多时候需要测试程序在资源受限情况下的表现,普通的做法可能是不断对系统加压使能够分配给目标程序的资源变少,换另一个思路思考,可以尝试限制分配给目标程序的资源总数,使得机器状态健康的情况下让程序资源使用达到饱和。 作为一个正在做着容器项目的人,知道容器技术是依靠Cgroup和Namespace来实现的。在容器中,cpu和内存资源...
Docker-----(八)资源控制和安全加固
qq_41582883的博客
01-30 470
命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。 在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。 docker run -d --name demo nginx 控制组资源控制的安全 当doc
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值