cgroups通过限制、记录和隔离进程组资源实现容器化应用的资源控制。首先确认系统支持cgroups v1或v2并检查挂载情况;推荐使用cgroups v2,其统一层级结构更简洁。创建控制组如myapp后,可通过写入memory.max限制内存(如200MB),写入cpu.max限制CPU(如50%配额);将进程PID写入cgroup.procs使其受控。实际中Docker和Kubernetes自动管理cgroups:Docker通过--memory和--cpus参数设置,K8s在Pod配置中定义resources.limits。直接操作适用于调试,生产环境建议使用高级工具间接管理,理解底层机制有助于排查资源问题。
Linux内核的cgroups(Control Groups)机制可以用来限制、记录和隔离进程组的资源使用,比如CPU、内存、磁盘I/O等。容器化技术如Docker和Kubernetes底层正是依赖cgroups来实现资源控制。以下是使用cgroups直接限制容器化应用资源的方法和关键配置说明。
启用并检查cgroups支持
现代Linux发行版默认启用cgroups,但需确认系统支持cgroups v1或v2,并确保挂载正确。
检查是否启用:- 运行
mount | grep cgroup查看cgroups挂载情况 - 查看
/sys/fs/cgroup/目录是否存在且包含子系统如cpu、memory等
通过cgroups v2限制内存和CPU
cgroups v2采用统一层级结构,配置更简洁。以下以创建一个名为myapp的控制组为例。
sudo mkdir /sys/fs/cgroup/myapp
echo 200000000 > /sys/fs/cgroup/myapp/memory.max
echo 50000 > /sys/fs/cgroup/myapp/cpu.max
- 启动容器或应用后,将其PID写入cgroup.procs文件:
echo $PID > /sys/fs/cgroup/myapp/cgroup.procs
在容器运行时中自动应用cgroups策略
实际使用中,通常不手动操作cgroups,而是通过容器引擎声明资源限制。
Docker示例:docker run -d --name web --memory=200m --cpus=0.5 nginx
resources:
limits:
memory: "200Mi"
cpu: "500m"
Kubelet通过CRI调用容器运行时,最终由cgroups实施限制。
基本上就这些。直接操作cgroups适合调试或嵌入式场景,生产环境建议使用Docker或K8s等工具间接管理。关键是理解其背后机制,才能更好排查资源超限问题。
