CGroup 介绍
CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离
进程组 (process groups) 所使用的物力资源 (如 cpu memory i/o 等等) 的机制。2007
年进入 Linux 2.6.24 内核,CGroups 不是全新创造的,它将进程管理从 cpuset 中剥
离出来,作者是 Google 的 Paul Menage。CGroups 也是 LXC 为实现虚拟化所使用
的资源管理手段。
CGroup 功能及组成
CGroup 是将任意进程进行分组化管理的 Linux 内核功能。CGroup 本身是提供将进程
进行分组化管理的功能和接口的基础结构,I/O 或内存的分配控制等具体的资源管理
功能是通过这个功能来实现的。这些具体的资源管理功能称为 CGroup 子系统或控制
器。CGroup 子系统有控制内存的 Memory 控制器、控制进程调度的 CPU 控制器
等。运行中的内核可以使用的 Cgroup 子系统由/proc/cgroup 来确认。
CGroup 提供了一个 CGroup 虚拟文件系统,作为进行分组管理和各子系统设置的用
户接口。要使用 CGroup,必须挂载 CGroup 文件系统。这时通过挂载选项指定使用
哪个子系统。
cgroup的特点如下:
cgroup的API以一个伪文件系统的实现方式,用户态的程序可以通过文件操作实现
cgroup的组织管理
cgroup的组织管理操作单元可以细粒度到线程级别,另外用户可以创建和销毁
cgroup,从而实现资源再分配和再利用
所有资源管理的功能都以子系统的方式实现,接口统一
子任务创建之初与其父任务处于同一个cgroup的控制组
cgroup四大功能:
资源限制:可以对任务使用的资源总额进行限制
优先级分配:通过分配的CPU时间片数量以及磁盘IO带宽大小,实际上相当于控制了
任务运行优先级
资源统计:可以统计系统的资源使用量,如CPU时长、内存用量等
任务控制:cgroup可以对任务执行挂起、恢复等操作
docker本质上就是宿主机上的一个进程,docker通过namespace实现了资源隔离,通
过cgroup实现了资源限制,通过写时复制技术(copyonwrite)
实现了高效的文件操
作
cgroup
背后的内核知识
实际上,Linux内核实现namespace的一个主要目的,就是实现轻量级虚拟化(容器)
服务。在同一个namespace下进程间可以感受到彼此之间的变化,对外界进程一无所
知。这样就可以让容器中进程产生错觉,仿佛自己置身于一个独立的系统环境中
namespace的API包括clone()、sents()、以及unshare()还有/prox下的部分文件