Linux如何限制用户的内存使用 cgroups基础配置教程

限制linux用户的内存使用主要通过cgroups技术实现。具体步骤包括：1. 检查系统是否支持cgroups，查看/proc/cgroups文件及/sys/fs/cgroup/memory目录结构；2. 若未自动挂载，手动执行mount命令挂载memory cgroup controller；3. 创建新的cgroup目录并设置memory.limit_in_bytes文件以限制内存；4. 将目标进程pid写入tasks文件以应用限制；5. 通过修改user.slice目录下的memory.limit_in_bytes文件限制特定用户内存使用；6. 使用memory.usage_in_bytes和memory.stat等文件监控内存使用情况；7. 删除cgroup时需确保无运行进程；8. 设置不当可能导致oom killer误杀进程，需调整swappiness和oom_control参数；9. cgroups v1与v2存在差异，推荐新系统使用更简洁强大的cgroups v2。

限制Linux用户的内存使用，主要靠cgroups（Control Groups）技术。简单来说，cgroups就像一个资源管理器，可以限制特定进程或用户组能使用的CPU、内存、磁盘I/O等资源。这对于服务器稳定性和防止恶意程序占用过多资源至关重要。

cgroups基础配置教程

如何查看系统是否支持cgroups？

最简单的办法是检查/proc/cgroups文件。如果存在，说明你的系统内核支持cgroups。更进一步，可以执行ls /sys/fs/cgroup/memory/命令，如果看到类似user.slice、system.slice等目录，说明memory cgroup controller已经挂载并可用。如果目录不存在，可能需要手动挂载。挂载命令通常是mount -t tmpfs cgroup_root /sys/fs/cgroup，然后mkdir /sys/fs/cgroup/memory和mount -t cgroup -o memory cgroup_memory /sys/fs/cgroup/memory。不过，现代Linux发行版通常会自动处理这些。

如何创建一个cgroup并限制内存？

首先，在/sys/fs/cgroup/memory/下创建一个新的目录，例如test_group：mkdir /sys/fs/cgroup/memory/test_group。然后，进入这个目录：cd /sys/fs/cgroup/memory/test_group。

限制内存的关键在于修改memory.limit_in_bytes文件。例如，要限制为100MB，可以执行echo 100M > memory.limit_in_bytes。注意，这里的大小单位可以是K、M、G等。

接下来，需要将要限制的进程ID（PID）写入tasks文件。假设要限制的进程PID是1234，执行echo 1234 > tasks。这样，PID为1234的进程就被限制在100MB内存内了。

如果进程试图使用超过限制的内存，默认情况下，cgroup会尝试回收内存。如果回收失败，并且memory.oom_control设置为1（默认值），进程会被OOM killer杀死。

如何限制特定用户的内存使用？

要限制特定用户的内存，可以结合systemd的user.slice。systemd会自动为每个用户创建一个slice，并管理其进程。

首先，找到对应用户的user.slice目录，通常在/sys/fs/cgroup/memory/system.slice/user-.slice/，其中是用户的用户ID。

然后，与之前类似，修改该目录下的memory.limit_in_bytes文件来限制用户的总内存使用。例如，限制用户UID为1000的内存使用为200MB：echo 200M > /sys/fs/cgroup/memory/system.slice/user-1000.slice/memory.limit_in_bytes。

需要注意的是，这种方式限制的是用户启动的所有进程的总内存使用。

如何监控cgroup的内存使用情况？

在cgroup目录下，有几个文件可以用来监控内存使用情况。memory.usage_in_bytes显示当前cgroup使用的总内存量，包括缓存。memory.stat提供更详细的统计信息，例如RSS、cache等。

可以使用cat memory.usage_in_bytes来查看当前使用量。

另外，memory.failcnt记录了内存分配失败的次数，如果这个值持续增加，可能意味着内存限制过于严格。

如何删除一个cgroup？

删除cgroup非常简单，只需要删除对应的目录即可：rmdir /sys/fs/cgroup/memory/test_group。但是，在删除之前，需要确保该cgroup下没有正在运行的进程，否则会报错。可以将进程从tasks文件中移除，或者直接杀死进程。

为什么设置了内存限制，进程还是被OOM killer杀了？

这可能是因为除了memory.limit_in_bytes之外，还有其他因素影响。例如，memory.swappiness控制着使用swap的积极程度。如果memory.swappiness设置为0，系统会尽量避免使用swap，即使还有空闲的swap空间，也可能导致OOM。

另外，memory.oom_control的设置也很重要。如果oom_kill_disable设置为1，即使进程超过了内存限制，也不会被OOM killer杀死，而是会无限期地等待内存。这可能会导致系统假死。

还需注意，cgroup的内存限制是硬限制，一旦超过，就会触发OOM killer。因此，在设置内存限制时，需要留有一定的余量，避免误杀。

cgroups v1和cgroups v2有什么区别？我应该使用哪个？

cgroups有两个主要版本：v1和v2。v1是最初的版本，使用多个独立的hierarchy来管理不同的资源（CPU、内存、I/O等）。v2是重新设计的版本，使用统一的hierarchy，并且引入了一些新的特性，例如更细粒度的资源控制。

选择哪个版本取决于你的Linux发行版和你的需求。较新的发行版通常默认使用cgroups v2。可以使用mount | grep cgroup2命令来检查是否挂载了cgroups v2。

cgroups v2的配置方式与v1略有不同。例如，在v2中，不再有tasks文件，而是使用cgroup.procs文件。此外，v2中的一些参数名称也发生了变化。

总的来说，如果你的发行版支持cgroups v2，并且你不需要与旧系统兼容，那么建议使用cgroups v2，因为它更简洁、更强大。但如果你的发行版仍然使用cgroups v1，或者你需要与旧系统兼容，那么就只能使用cgroups v1。

以上就是Linux如何限制用户的内存使用 cgroups基础配置教程的详细内容，更多请关注php中文网其它相关文章！