云原生之深入解析Docker容器的核心Cgroups的相关概念和使用实现

news2025/1/4 16:48:51

一、Cgroups 简介

  • Cgroups 是 Linux 系统内核提供的一种机制,这种机制可以根据需求将一些列系统任务机器子任务整合或分离到按资源划分登记的不同组内,从而为系统资源管理提供一个的框架。简单地说,Cgroups 可以限制、记录任务组所使用的物理组员(比如 CPU、Memory、IO等),为容器实现虚拟化提供了基本保证,是构建 Docker 等一些列虚拟化管理工具的基石。
  • 从 2013 年开源的 Docker 推出、2014 年开源的 Kubernetes 出现,到现在的云原生技术与生态的全面普及与火热化,容器技术已经逐步成为主流的基础云原生技术之一。使用容器技术,可以很好地实现资源层面上的限制和隔离,这都依赖于 Linux 系统内核所提供的Cgroups和 Namespace 技术。
  • Cgroups 主要用来管理资源的分配、限制;Namespace 主要用来封装抽象、限制、隔离资源,使命名空间内的进程拥有它们自己的全局资源。Linux 内核提供的 Cgroups 和 Namespace 技术,为容器实现虚拟化提供了基本保证,是构建 Docker 等一些列虚拟化管理工具的基石。
  • Cgroups 是 control groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如 CPU、Memory、IO 等)的机制。

在这里插入图片描述

  • 通过使用 Cgroups,系统管理员在分配、排序、拒绝、管理和监控系统资源等方面,可以进行精细化控制。硬件资源可以在应用程序和用户间智能分配,从而增加整体效率。最初由 google 的工程师提出,后来被整合进 Linux 内核,也是目前轻量级虚拟化技术 XC(Linux Container)的基础之一。
  • Cgroups 和 Namespace 类似,也是将进程进行分组,但它的目的和 Namespace 不一 样,Namespace 是为了隔离进程组之间的资源,而 Cgroups 是为了对一组进程进行统一的资源监控和限制。
  • Cgroups 分 v1 和 v2 两个版本,v1 实现较早,功能比较多,但是由于它里面的功能都是零零散散的实现的,所以规划的不是很好,导致了一些使用和维护上的不便,v2 的出现 就是为了解决 v1 中这方面的问题,在最新的 4.5 内核中,Cgroups v2 声称已经可以用于生产环境了,但它所支持的功能还很有限,随着 v2 一起引入内核的还有 Cgroups、Namespace,v1 和 v2 可以混合使用,但是这样会更复杂,所以一般没人会这样用。

二、Cgroups 的主体架构

  • Cgroups 是 Linux 下的一种将进程按组进行管理的机制,在用户层看来,Cgroups 技术就是把系统中的所有进程组织成一颗一颗独立的树,每棵树都包含系统的所有进程,树的每个节点是一个进程组,而每颗树又和一个或者多个 subsystem 关联,树的作用是将进程分组,而 subsystem 的作用就是对这些组进行操作,Cgroups 的主体架构提如下:

在这里插入图片描述

  • Cgroups 主要包括下面两部分:
    • subsystem: 一个 subsystem 就是一个内核模块,它被关联到一颗 cgroup 树之后, 就会在树的每个节点(进程组)上做具体的操作。subsystem 经常被称作 resource controller,因为它主要被用来调度或者限制每个进程组的资源,但是这个说法不完全准 确,因为有时我们将进程分组只是为了做一些监控,观察一下他们的状态,比如 perf_event subsystem。到目前为止,Linux 支持 12 种 subsystem,比如限制 CPU 的使用时间,限制使用的内存,统计 CPU 的使用情况,冻结和恢复一组进程等。
    • hierarchy: 一个 hierarchy 可以理解为一棵 cgroup 树,树的每个节点就是一个进程 组,每棵树都会与零到多个 subsystem 关联。在一颗树里面,会包含 Linux 系统中的所有 进程,但每个进程只能属于一个节点(进程组)。系统中可以有很多颗 cgroup 树,每棵树 都和不同的 subsystem 关联,一个进程可以属于多颗树,即一个进程可以属于多个进程 组,只是这些进程组和不同的 subsystem 关联。
  • 目前 Linux 支持 12 种 subsystem,如果不考虑不与任何 subsystem 关联的情况(systemd 就属于这种情况),Linux 里面最多可以建 12 颗 cgroup 树,每棵树关联一个 subsystem,当然也可以只建一棵树,然后让这 棵树关联所有的 subsystem。当一颗 cgroup 树不和任何 subsystem 关联的时候,意味着这棵树只是将进程进行分组,至于要在分组的基础上做些什么,将由应用程序自己决定,systemd 便是如此。

三、为什么需要 Cgroups ?

  • 在 Linux 里,一直以来就有对进程进行分组的概念和需求,比如 session group, progress group 等,后来随着人们对这方面的需求越来越多,比如需要追踪一组进程的内存和 IO 使用情况等,于是出现了 cgroup,用来统一将进程进行分组,并在分组的基础上对进程进行监控和资源控制管理等。
  • 举个例子,Linux 系统中安装了杀毒软件 ESET 或者 ClamAV,杀毒时占用系统资源过高,影响系统承载业务运行,怎么办?单个虚拟机进程或者 docker 进程使用过高的资源,怎么办?单个Java进行占用系统过多的内存的资源,怎么办?cgroup 就是能够控制并解决上述问题的工具,cgroup 在 linux 内核实现、用于控制 linux 系统资源。

四、Cgroups 是如何实现的 ?

  • 在 CentOS 7 系统中(包括 Red Hat Enterprise Linux 7),通过将 cgroup 层级系统与 systemd 单位树捆绑,可以把资源管理设置从进程级别移至应用程序级别。默认情况下 systemd 会自动创建 slice、scope 和 service 单位的层级(具体的意思稍后再解释),来为 cgroup 树提供统一结构。
  • 可以通过 systemctl 命令创建自定义 slice 进一步修改此结构,如果将系统的资源看成一块馅饼,那么所有资源默认会被划分为 3 个 cgroup:System, User 和 Machine。每一个 cgroup 都是一个 slice,每个 slice 都可以有自己的子 slice,如下图所示:

在这里插入图片描述

  • 以 CPU 资源为例,来解释一下上图中出现的一些关键词。如上图所示,系统默认创建了 3 个顶级 slice(System, User 和 Machine),每个 slice 都会获得相同的 CPU 使用时间(仅在 CPU 繁忙时生效),如果 user.slice 想获得 100% 的 CPU 使用时间,而此时 CPU 比较空闲,那么 user.slice 就能够如愿以偿。这三种顶级 slice 的含义如下:
    • system.slice:所有系统 service 的默认位置;
    • user.slice:所有用户会话的默认位置,每个用户会话都会在该 slice 下面创建一个子 slice,如果同一个用户多次登录该系统,仍然会使用相同的子 slice;
    • machine.slice:所有虚拟机和 Linux 容器的默认位置 控制 CPU 资源使用的其中一种方法是 shares,shares 用来设置 CPU 的相对值(可以理解为权重),并且是针对所有的 CPU(内核),默认值是 1024,因此在上图中,httpd、sshd、crond 和 gdm 的 CPU shares 均为 1024,System、User 和 Machine 的 CPU shares 也是 1024。
  • 假设该系统上运行了 4 个 service,登录了两个用户,还运行了一个虚拟机,同时假设每个进程都要求使用尽可能多的 CPU 资源(每个进程都很繁忙),则:
    • system.slice 会获得 33.333% 的 CPU 使用时间,其中每个 service 都会从 system.slice 分配的资源中获得 1/4 的 CPU 使用时间,即 8.25% 的 CPU 使用时间;
    • user.slice 会获得 33.333% 的 CPU 使用时间,其中每个登录的用户都会获得 16.5% 的 CPU 使用时间,假设有两个用户:tom 和 jack,如果 tom 注销登录或者杀死该用户会话下的所有进程, jack 就能够使用 33.333% 的 CPU 使用时间;
    • machine.slice 会获得 33.333% 的 CPU 使用时间,如果虚拟机被关闭或处于 idle 状态,那么 system.slice 和 user.slice 就会从这 33.333% 的 CPU 资源里分别获得 50% 的 CPU 资源,然后均分给它们的子 slice。

五、 Cgroups 的作用

  • Cgroups 最初的目标是为资源管理提供的一个统一的框架,既整合现有的 cpuset 等子系统,也为未来开发新的子系统提供接口。现在的 cgroups 适用于多种应用场景,从单个进程的资源控制,到实现操作系统层次的虚拟化(OS Level Virtualization),框架图如下:

在这里插入图片描述

  • Cgroups 提供以下功能:
    • 限制进程组可以使用的资源数量(Resource limiting ),比如:memory 子系统可以为进程组设定一个 memory 使用上限,一旦进程组使用的内存达到限额再申请内存,就会出发 OOM(out of memory);
    • 进程组的优先级控制(Prioritization ),比如:可以使用 cpu 子系统为某个进程组分配特定 cpu share;
    • 记录进程组使用的资源数量(Accounting ),比如:可以使用 cpuacct 子系统记录某个进程 组使用的 cpu 时间;
    • 进程组隔离(Isolation),比如:使用 ns 子系统可以使不同的进程组使用不同的 namespace,以达到隔离的目的,不同的进程组有各自的进程、网络、文件系统挂载空间;
    • 进程组控制(Control),比如:使用 freezer 子系统可以将进程组挂起和恢复。

六、Cgroups 相关概念及相互关系

① 相关概念

  • 任务(task):在 cgroups 中,任务就是系统的一个进程。
  • 控制族群(control group):控制族群就是一组按照某种标准划分的进程。Cgroups 中的资源控制都是以控制族群为单位实现。一个进程可以加入到某个控制族群,也从一个进程组迁移到另 一个控制族群。一个进程组的进程可以使用 cgroups 以控制族群为单位分配的资源,同时受到 cgroups 以控制族群为单位设定的限制。
  • 层级(hierarchy):控制族群可以组织成 hierarchical 的形式,既一颗控制族群树。控制族 群树上的子节点控制族群是父节点控制族群的孩子,继承父控制族群的特定的属性。
  • 子系统(subsystem):一个子系统就是一个资源控制器,比如 cpu 子系统就是控制 cpu 时间分配的一个控制器。子系统必须附加(attach)到一个层级上才能起作用,一个子系统附加到某个 层级以后,这个层级上的所有控制族群都受到这个子系统的控制。

② 相互关系

  • 每次在系统中创建新层级时,该系统中的所有任务都是那个层级的默认 cgroup(称之为 root cgroup ,此 cgroup 在创建层级时自动创建,后面在该层级中创建的 cgroup 都是此 cgroup 的后代)的初始成员。
  • 一个子系统最多只能附加到一个层级。
  • 一个层级可以附加多个子系统。
  • 一个任务可以是多个 cgroup 的成员,但是这些 cgroup 必须在不同的层级。
  • 系统中的进程(任务)创建子进程(任务)时,该子任务自动成为其父进程所在 cgroup 的成员,然后可根据需要将该子任务移动到不同的 cgroup 中,但开始时它总是继承其父任务的 cgroup。

七、Cgroups 子系统

① 子系统 subsystem

  • 可以看到,在 /sys/fs/cgroup 下面有很多 cpu、memory 这样的子目录,也就称为子系统 subsystem:

在这里插入图片描述

  • 它是一组资源控制模块,一般包含如下几项:
    • net_cls:将 cgroup 中进程产生的网络包分类,以便 Linux 的 tc(traffic controller) 可以根据分类区分出来自某个 cgroup 的包并做限流或监控,这个子系统使用等级识别符(classid)标记网络数据包,可允许 Linux 流量控制程序 (tc)识别从具体 cgroup 中生成的数据包;
    • net_prio:设置 cgroup 中进程产生的网络流量的优先级;
    • memory:控制 cgroup 中进程的内存占用;
    • cpuset:在多核机器上设置 cgroup 中进程可以使用的 cpu 和内存,这个子系统为 cgroup 中的任务分配独立 CPU(在多核系统)和内存节点;
    • freezer:挂起(suspend)和恢复(resume)cgroup 中的进程,这个子系统挂起或者恢复 cgroup 中的任务;
    • blkio:设置对块设备(如硬盘)输入输出的访问控制,这个子系统为块设备设定输入/输出限制,比如物理设备(磁盘,固态硬盘,USB 等等);
    • cpu:设置 cgroup 中进程的 CPU 占用,这个子系统使用调度程序提供对 CPU 的 cgroup 任务访问;
    • cpuacct:统计 cgroup 中进程的 CPU 占用,这个子系统自动生成 cgroup 中任务所使用的 CPU 报告;
    • devices:控制 cgroup 中进程对设备的访问 16 这个子系统可允许或者拒绝 cgroup 中的任务访问设备。

② 如何查看当前系统支持哪些 subsystem ?

  • 可以通过查看 /proc/cgroups(since Linux 2.6.24)知道当前系统支持哪些 subsystem,如下所示:
#subsys_name hierarchy num_cgroups enabled 
cpuset 11 1 1 
cpu 3 64 1 
cpuacct 3 64 1 
blkio 8 64 1 
memory 9 104 1 
devices 5 64 1 
freezer 10 4 1 
net_cls 6 1 1 
perf_event 7 1 1 
net_prio 6 1 1 
hugetlb 4 1 1 
pids 2 68 1
  • 每一列的说明:
    • subsys_name:subsystem 的名字;
    • hierarchy:subsystem 所关联到的 cgroup 树的 ID,如果多个 subsystem 关联到同一颗 cgroup 树,那么它们的这个字段将一样,比如这里的 cpu 和 cpuacct 就一样,表示它们绑定到了同一颗树,如果出现下面的情况,这个字段将为 0:
      • 当前 subsystem 没有和任何 cgroup 树绑定;
      • 当前 subsystem 已经和 cgroup v2 的树绑定;
      • 当前 subsystem 没有被内核开启。
    • num_cgroups:subsystem 所关联的 cgroup 树中进程组的个数,也即树上节点的个数;
    • enabled:1 表示开启,0 表示没有被开启(可以通过设置内核的启动参数 cgroup_disable 来控制 subsystem 的开启)。

③ Cgroups 下的 CPU 子系统

  • cpu 子系统用于控制 cgroup 中所有进程可以使用的 cpu 时间片。cpu subsystem 主要涉及 5 个接口:cpu.cfs_period_us、cpu.cfs_quota_us、cpu.shares、cpu.rt_period_us、cpu.rt_runtime_us.cpu。
  • cfs_period_us:cfs_period_us 表示一个 cpu 带宽,单位为微秒,系统总 CPU 带宽:cpu 核心数 * cfs_period_us cpu。
  • cfs_quota_us:cfs_quota_us 表示 Cgroup 可以使用的 cpu 的带宽,单位为微秒,cfs_quota_us 为 -1,表示使用的 CPU 不受 cgroup 限制,cfs_quota_us 的最小值为1ms(1000),最大值为 1s,结合 cfs_period_us,就可以限制进程使用的 cpu。例如配置 cfs_period_us=10000,而 cfs_quota_us=2000。那么该进程就可以可以用 2 个 cpu core;
  • cpu.shares:通过 cfs_period_us 和 cfs_quota_us 可以以绝对比例限制 cgroup 的 cpu 使用,即 cfs_quota_us/cfs_period_us 等于进程可以利用的 cpu cores,不能超过这个数值,而 cpu.shares 以相对比例限制 cgroup 的 cpu。例如:在两个 cgroup 中都将 cpu.shares 设定为 1 的任务将有相同的 CPU 时间,但在 cgroup 中将 cpu.shares 设定为 2 的任务可使用的 CPU 时间是在 cgroup 中将 cpu.shares 设定为 1 的任务可使用的 CPU 时间的两倍;
  • cpu.rt_runtime_us:以微秒(µs,这里以“us”代表)为单位指定在某个时间段中 cgroup 中的任务对 CPU 资源的最长连续访问时间。建立这个限制是为了防止一个 cgroup 中的任务独占 CPU 时间。如果 cgroup 中的任务应该可以每 5 秒中可有 4 秒时间访问 CPU 资源,请将 cpu.rt_runtime_us 设定为 4000000,并将 cpu.rt_period_us 设定为 5000000。
  • cpu.rt_period_us:以微秒(µs,这里以“us”代表)为单位指定在某个时间段中 cgroup 对 CPU 资源访问重新分配的频率。如果某个 cgroup 中的任务应该每 5 秒钟有 4 秒时间可访问 CPU 资源,则请将 cpu.rt_runtime_us 设定为 4000000,并将 cpu.rt_period_us 设定为 5000000。注意 sched_rt_runtime_us 是实时任务的保证时间和最高占用时间,如果实时任务没有使用,可以分配给非实时任务,并且实时任务最终占用的时间不能超过这个数值,参考 Linux-85 关于 sched_rt_runtime_us 和 sched_rt_period_us。对 cpu.rt_period_us 参数的限制是必须小于父目录中的同名参数值。
  • 对 cpu.rt_runtime_us 的限制是:
Sum_{i} runtime_{i} / global_period <= global_runtime / global_period
  • 即:
Sum_{i} runtime_{i} <= global_runtime 
  • 当前的实时进程调度算法可能导致部分实时进程被饿死,如下 A 和 B 是并列的,A 的运行时时长正好覆盖 B 的运行时间:
* group A: period=100000us, runtime=50000us
- this runs for 0.05s once every 0.1s
 
* group B: period= 50000us, runtime=25000us
- this runs for 0.025s twice every 0.1s (or once every 0.05 sec).
  • Real-Time group scheduling 中提出正在开发 SCHED_EDF (Earliest Deadline First scheduling),优先调度最先结束的实时进程。

④ 在 CentOS 中安装 Cgroups

#若系统未安装则进行安装,若已安装则进行更新
yum install libcgroup 
 
#查看运行状态,并启动服务 
[root@localhost ~] service cgconfig status 
Stopped 
 
[root@localhost ~] service cgconfig start 
Starting cgconfig service: [ OK ] 
service cgconfig status 9 Running 1011 
 
#查看是否安装cgroup
[root@localhost ~] grep cgroup /proc/filesystems

⑤ 查看 service 服务在哪个 cgroup 组 ?

systemctl status [pid] | grep CGroup 23 
cat /proc/[pid]/cgroup 
cd /sys/fs/ && find * ‐name "*.procs" ‐exec grep [pid] {} /dev/null \; 2> /dev/null 
 
#查看进程cgroup的最快方法是使用以下bash脚本按进程名: 
#!/bin/bash 
THISPID=`ps ‐eo pid,comm | grep $1 | awk '{print $1}'` 
cat /proc/$THISPID/cgroup

八、如何使用 Cgroups ?

① 通过 systemctl 设置 cgroup

  • 在使用命令 systemctl set-property 时,可以使用 tab 补全:
$ systemctl set‐property user‐1000.slice 
AccuracySec= CPUAccounting= Environment= LimitCPU= LimitNICE= LimitSIGPEN DING= SendSIGKILL= 
BlockIOAccounting= CPUQuota= Group= LimitDATA= LimitNOFILE= LimitSTACK= U ser= 
BlockIODeviceWeight= CPUShares= KillMode= LimitFSIZE= LimitNPROC= MemoryA ccounting= WakeSystem= 
BlockIOReadBandwidth= DefaultDependencies= KillSignal= LimitLOCKS= LimitR SS= MemoryLimit=
BlockIOWeight= DeviceAllow= LimitAS= LimitMEMLOCK= LimitRTPRIO= Nice= 
BlockIOWriteBandwidth= DevicePolicy= LimitCORE= LimitMSGQUEUE= LimitRTTIM E= SendSIGHUP=
  • 这里有很多属性可以设置,但并不是所有的属性都是用来设置 cgroup 的,只需要关注 Block、CPU 和 Memory。如果想通过配置文件来设置 cgroup,service 可以直接在 /etc/systemd/system/xxx.service.d 目录下面创建相应的配置文件,slice 可以直接在 /run/systemd/system/xxx.slice.d 目录下面创建相应的配置文件。事实上通过 systemctl 命令行工具设置 cgroup 也会写到该目录下的配置文件中:
$ cat /run/systemd/system/user‐1000.slice.d/50CPUQuota.conf 
[Slice] 
CPUQuota=20%

② 设置 CPU 资源的使用上限

  • 如果想严格控制 CPU 资源,设置 CPU 资源的使用上限,即不管 CPU 是否繁忙,对 CPU 资源的使用都不能超过这个上限。可以通过以下两个参数来设置:
    • cpu.cfs_period_us = 统计 CPU 使用时间的周期,单位是微秒(us);
    • cpu.cfs_quota_us = 周期内允许占用的 CPU 时间(指单核的时间,多核则需要在设置时累加);
  • systemctl 可以通过 CPUQuota 参数来设置 CPU 资源的使用上限。例如,如果想将用户 tom 的 CPU 资源使用上限设置为 20%,可以执行以下命令:
$ systemctl set‐property user‐1000.slice CPUQuota=20%

③ 通过配置文件设置 cgroup(/etc/cgconfig.conf)

  • cgroup 配置文件所在位置 /etc/cgconfig.conf,其默认配置文件内容:
mount {
cpuset = / cgroup / cpuset ;
cpu = / cgroup / cpu ;
cpuacct = / cgroup / cpuacct ;
memory = / cgroup / memory ;
devices = / cgroup / devices ;
freezer = / cgroup / freezer ;
net_cls = / cgroup / net_cls ;
blkio = / cgroup / blkio ;
}
  • 相当于执行命令:
mkdir /cgroup/cpuset 
mount ‐t cgroup ‐o cpuset red /cgroup/cpuset
…… 
mkdir /cgroup/blkio 
 
[root@localhost ~] vi /etc/cgrules.conf 
[root@localhost ~] echo 524288000 > /cgroup/memory/foo/memory.limit_in_b ytes 
  • 使用 cgroup 临时对进程进行调整,直接通过命令即可,如果要持久化对进程进行控制,即重启后依然有效,需要写进配置文件 /etc/cgconfig.conf 及 /etc/cgrules.conf。

九、 查看 Cgroup

① 通过 systemd 查看 cgroup

  • systemd-cgls 命令:
    • 通过 systemd-cgls 命令来查看,它会返回系统的整体 cgroup 层级,cgroup 树的最高层 由 slice 构成,如下所示:
$ systemd‐cgls ‐‐no‐page 
 
├─1 /usr/lib/systemd/systemd ‐‐switched‐root ‐‐system ‐‐deserialize 22 
├─user.slice 
│ ├─user‐1000.slice 
│ │ └─session‐11.scope 
│ │ ├─9507 sshd: tom [priv] 
│ │ ├─9509 sshd: tom@pts/3 
│ │ └─9510 ‐bash 
│ └─user‐0.slice 
│ └─session‐1.scope 
│ ├─ 6239 sshd: root@pts/0 
│ ├─ 6241 ‐zsh 
│ └─11537 systemd‐cgls ‐‐no‐page 
└─system.slice 15 ├─rsyslog.service 
│ └─5831 /usr/sbin/rsyslogd ‐n 
├─sshd.service 18 │ └─5828 /usr/sbin/sshd ‐D 
├─tuned.service 
│ └─5827 /usr/bin/python2 ‐Es /usr/sbin/tuned ‐l ‐P 21 ├─crond.service 
│ └─5546 /usr/sbin/crond ‐n
    • 可以看到系统 cgroup 层级的最高层由 user.slice 和 system.slice 组成。因为系统中没有 运行虚拟机和容器,所以没有 machine.slice,所以当 CPU 繁忙时,user.slice 和 system.slice 会各获得 50% 的 CPU 使用时间。
    • user.slice 下面有两个子 slice:user-1000.slice 和 user-0.slice,每个子 slice 都用 User ID (UID) 来命名,因此很容易识别出哪个 slice 属于哪个用户。例如从上面的输出信息中可以看出 user-1000.slice 属于用户 tom,user-0.slice 属于用户 root。
  • systemd-cgtop 命令:
    • systemd-cgls 命令提供的只是 cgroup 层级的静态信息快照,要想查看 cgroup 层级的动 态信息,可以通过 systemd-cgtop 命令查看:
$ systemd‐cgtop 
 
Path Tasks %CPU Memory Input/s Output/s 
/ 161 1.2 161.0M ‐ ‐ 5 /system.slice ‐ 0.1 ‐ ‐ ‐ 
/system.slice/vmtoolsd.service 1 0.1 ‐ ‐ ‐ 
/system.slice/tuned.service 1 0.0 ‐ ‐ ‐ 
/system.slice/rsyslog.service 1 0.0 ‐ ‐ ‐ 
/system.slice/auditd.service 1 ‐ ‐ ‐ ‐ 
/system.slice/chronyd.service 1 ‐ ‐ ‐ ‐ 
/system.slice/crond.service 1 ‐ ‐ ‐ ‐ 
/system.slice/dbus.service 1 ‐ ‐ ‐ ‐ 
/system.slice/gssproxy.service 1 ‐ ‐ ‐ ‐ 
/system.slice/lvm2‐lvmetad.service 1 ‐ ‐ ‐ ‐ 
/system.slice/network.service 1 ‐ ‐ ‐ ‐ 
/system.slice/polkit.service 1 ‐ ‐ ‐ ‐ 
/system.slice/rpcbind.service 1 ‐ ‐ ‐ ‐ 
/system.slice/sshd.service 1 ‐ ‐ ‐ ‐ 
/system.slice/system‐getty.slice/getty@tty1.service 1 ‐ ‐ ‐ ‐ 
/system.slice/systemd‐journald.service 1 ‐ ‐ ‐ ‐ 
/system.slice/systemd‐logind.service 1 ‐ ‐ ‐ ‐ 
/system.slice/systemd‐udevd.service 1 ‐ ‐ ‐ ‐ 
/system.slice/vgauthd.service 1 ‐ ‐ ‐ ‐ 
/user.slice 3 ‐ ‐ ‐ ‐ 
/user.slice/user‐0.slice/session‐1.scope 3 ‐ ‐ ‐ ‐ 
/user.slice/user‐1000.slice 3 ‐ ‐ ‐ ‐ 
/user.slice/user‐1000.slice/session‐11.scope 3 ‐ ‐ ‐ ‐ 
/user.slice/user‐1001.slice/session‐8.scope
    • scope systemd-cgtop 提供的统计数据和控制选项与 top 命令类似,但该命令只显示那些开启了 资源统计功能的 service 和 slice。如果想开启 sshd.service 的资源统计功能,可以进行如下操作:
$ systemctl set‐property sshd.service CPUAccounting=true MemoryAccounting=true 
 
#该命令会在 /etc/systemd/system/sshd.service.d/ 目录下创建相应的配置文件: 
$ ll /etc/systemd/system/sshd.service.d/ 
总用量 8 
4 ‐rw‐r‐‐r‐‐ 1 root root 28 531 02:24 50CPUAccounting.conf 
4 ‐rw‐r‐‐r‐‐ 1 root root 31 531 02:24 50MemoryAccounting.conf 
 
$ cat /etc/systemd/system/sshd.service.d/50CPUAccounting.conf 
[Service] 
CPUAccounting=yes 1415 
 
$ cat /etc/systemd/system/sshd.service.d/50MemoryAccounting.conf 
[Service] 
MemoryAccounting=yes 1819 
 
#配置完成之后,再重启 sshd 服务: 
$ systemctl daemon‐reload 21 $ systemctl restart sshd
    • 这时再重新运行 systemd‐cgtop 命令,就能看到 sshd 的资源使用统计。

② 通过 proc 查看 cgroup

  • 如何查看当前进程属于哪些 cgroup 可以通过查看 /proc/[pid]/cgroup(since Linux 2.6.24) 知道指定进程属于哪些cgroup,如下:
$ cat /proc/777/cgroup 
 
11:cpuset:/ 
10:freezer:/ 
9:memory:/system.slice/cron.service 
8:blkio:/system.slice/cron.service 
7:perf_event:/ 7 6:net_cls,net_prio:/ 
5:devices:/system.slice/cron.service 
4:hugetlb:/ 
3:cpu,cpuacct:/system.slice/cron.service 
2:pids:/system.slice/cron.service 
1:name=systemd:/system.slice/cron.service
  • 每一行包含用冒号隔开的三列,它们的意思分别是:
cgroup树的ID :和cgroup树绑定的所有subsystem :进程在cgroup树中的路径
    • cgroup 树的 ID,和 /proc/cgroups 文件中的 ID 一一对应;
    • 和 cgroup 树绑定的所有 subsystem,多个 subsystem 之间用逗号隔开,这里 name=systemd 表示没有和任何 subsystem 绑定,只是给他起了个名字叫 systemd;
    • 进程在 cgroup 树中的路径,即进程所属的 cgroup,相对于挂载点的相对路径。

③ 通过 /sys 查看 cgroup

  • 查看 cgroup 下 CPU 资源的使用上限:
$ cat /sys/fs/cgroup/cpu,cpuacct/user.slice/user‐1000.slice/cpu.cfs_perio d_us 
100000 
 
$ cat /sys/fs/cgroup/cpu,cpuacct/user.slice/user‐1000.slice/cpu.cfs_quota _us 
20000 
  • 这表示用户 tom 在一个使用周期内(100 毫秒)可以使用 20 毫秒的 CPU 时间。不管 CPU 是否空闲,该用户使用的 CPU 资源都不会超过这个限制。
  • CPUQuota 的值可以超过 100%,例如:如果系统的 CPU 是多核,且 CPUQuota 的值为 200%,那么该 slice 就能够使用 2 核的 CPU 时间。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/716502.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

HCIP-Cloud Service Solutions Architect v3.0

华为职业认证hcip解决方案架构师v3.0 新增题库200题 HCIP-Cloud Service Solutions Architect v3.0 1.关于创建数据盘镜像的约束条件&#xff0c;以下说法错误的是&#xff1f; A.使用云服务器的数据盘创建数据盘镜像时&#xff0c;要确保该云服务器必须有系统盘 B.通过外部文件…

智能化新服务即将惊艳亮相HDC2023 ——华为云Astro爆发低代码能量

​​HDC期间可参与华为开发者大会Astro新人抽奖活动&#xff0c;活动链接在文末。福利多多&#xff0c;快来参与&#xff01; 跃跃欲试的开发者们&#xff0c;是否对2023华为云开发者大会充满期待&#xff1f;华为云Astro将引领新一轮低代码技术革命&#xff01;贯穿AIGC技术的…

HTML5 游戏开发实战 | 五子棋

五子棋是一种家喻户晓的棋类游戏&#xff0c;它的多变吸引了无数的玩家。本章首先实现单机五子棋游戏(两人轮流下)&#xff0c;而后改进为人机对战版。整个游戏棋盘格数为 1515&#xff0c;单击鼠标落子&#xff0c;黑子先落。在每次下棋子前&#xff0c;程序先判断该处有无棋子…

建安三类人企业主要负责人(A证)安全技术考试题库及答案

本题库是根据最新考试大纲要求&#xff0c;结合近年来考试真题的重难点进行汇编整理组成的全真模拟试题&#xff0c;考生们可以进行专项训练&#xff0c;查漏补缺巩固知识点。本题库对热点考题和重难点题目都进行了仔细的整理和编辑&#xff0c;相信考生在经过了针对性的刷题练…

网络安全(黑客)学习路线

前言&#xff1a; 学基础花费很长时间&#xff0c;光语言都有几门&#xff0c;有些人会倒在学习 linux 系统及命令的路上&#xff0c;更多的人会倒在学习语言上&#xff1b; 1、打基础时间太长 对于网络安全基础内容&#xff0c;很多人不清楚需要学到什么程度&#xff0c;囫…

飞行动力学 - 第2节-推进系统、气动力、重要参数及一点点滑翔 之 基础点摘要

飞行动力学 - 第2节-推进系统、气动力、重要参数及一点点滑翔 之 基础点摘要 1. 推进系统介绍2. 推进系统效率/功率/推力3. 涡桨/涡扇/涡喷 桨叶激波 影响4. 典型喷气式发动机数据5. 空气动力6. 升力&法向过载7. 阻力组成8. 最大升阻比 & 最小阻升比9. 飞机阻力10. 重要…

怎么批量禁用公司u盘功能

在某些情况下&#xff0c;禁用U盘的功能可能是必要的。无论是出于安全考虑&#xff0c;还是为了限制员工在工作时间内使用个人设备&#xff0c;禁用U盘可以帮助管理和控制数据的流动。本文将介绍一些禁用U盘的方法&#xff08;其中方法三可以公司局域网内部一键禁止U盘的使用&a…

使用SpringEL获得字符串中的表达式运算结果

概述 有时候会遇上奇怪的需求&#xff0c;比如解析字符串中表达式的结果。 这个时候自己写解析肯定是比较麻烦的&#xff0c; 正好SprinngEL支持加()、减(-)、乘(*)、除(/)、求余&#xff08;%&#xff09;、幂&#xff08;^&#xff09;运算&#xff0c;可以免去造轮子的功夫…

六大设计模式原则

1 单一职责原则 &#xff08;Single Responsibility Principle, SRP&#xff09;&#xff0c;有且仅有一个原因引起类的变更 顾名思义&#xff1a;一个类只负责一项职责 基本介绍 即对类来说&#xff0c;一个类应该只负责一项职责。如类 A 负责两个不同职责&#xff1a;职责 …

Milvus 介绍

Milvus 特点 在万亿矢量数据集上实现惊人的搜索速度&#xff1a;在万亿矢量数据集上&#xff0c;矢量搜索和检索的平均延迟可达毫秒级。简化的非结构化数据管理&#xff1a; Milvus 拥有专为数据科学工作流程设计的丰富 API。可靠、始终在线的矢量数据库&#xff1a; Milvus 内…

MA35D1测试-记录

1.查看拨码开关的启动设定 找到开发板&#xff1a;拨码快关&#xff0c;复位按键、电源开关的位置&#xff01; 2.三根线和软件&#xff08;一根5V/2A电源适配线、两根usb线&#xff09; 三根线&#xff1a;一根5V/2A电源适配线、两根usb线 电源线插上&#xff0c;确保可以波…

kafka入门,节点服役和退役(新增节点和删除节点)(十二)

1、节点服役 1、克隆准备其中一台节点 2、如果新节点的kafka有被log和datas文件夹要删除 3、修改/etc/hosts 配置新节点映射 1.1 执行负载均衡操作 vim topics-to-move.json{"topic": "主题名称"} {"topics": [{"topic": "fi…

提高学习效率:必备学习软件推荐

在当今数字化的学习环境中&#xff0c;选择适合自己的学习软件是提高效率和获取知识的关键。 分享一&#xff1a;伙伴云 伙伴云是一款强大的数据协作工具&#xff0c;它利用仪表盘进行数据分析&#xff0c;并实现了月度报表的自动汇总功能。 伙伴云的仪表盘集合了大数据分析…

Leetcode 445. 两数相加 II

原题链接&#xff1a;Leetcode445. Add Two Numbers II You are given two non-empty linked lists representing two non-negative integers. The most significant digit comes first and each of their nodes contains a single digit. Add the two numbers and return the…

代码冗余太多?给新人Code Review头都大了?

一、前言 开发过程中&#xff0c;只是觉得前端后端合起来&#xff0c;有很多冗余信息&#xff0c;被代码一遍遍重复表达&#xff0c;是一件很枯燥、无聊的事情。这些枯燥的重复工作&#xff0c;完全可以由机器来做&#xff0c;以便解放出我们的时间&#xff0c;来做更有价值的工…

vue实现复制文本

方法一&#xff1a; 原理&#xff1a;浏览器本身提供了一个copy命令&#xff0c;利用它可以复制选中的内容&#xff1a;如果是输入框&#xff0c;我们可以利用select()方法来选中输入框中的内容&#xff0c;然后调用copy命令&#xff0c;将文本复制到剪切板&#xff0c;但是se…

菱形继承及菱形虚拟继承

复杂的菱形继及菱形虚拟继承 单继承&#xff1a;一个子类只有一个直接父类时称这个继承关系为单继承 多继承&#xff1a;一个子类有两个或以上直接父类时称这个继承关系为多继承 菱形继承是多继承的一种特殊状态 菱形继承的问题&#xff1a;从下面的对象成员模型构造&#xff…

【Linux】指令与权限

Yan-英杰的主页 悟已往之不谏 知来者之可追 C程序员&#xff0c;2024届电子信息研究生 目录 一、Xshell配置 会话配置 日志 二、指令 date指令 cal指令 find指令(极其重要) -name grep指令…

【python pip 安装错误 ModuleNotFoundError: No module named pip._internal 解决办法】

&#x1f680; 零基础入门学习Python&#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜…

【OpenGL】读取视频并渲染

&#x1f60f;★,:.☆(&#xffe3;▽&#xffe3;)/$:.★ &#x1f60f; 这篇文章主要介绍读取视频并渲染。 学其所用&#xff0c;用其所学。——梁启超 欢迎来到我的博客&#xff0c;一起学习&#xff0c;共同进步。 喜欢的朋友可以关注一下&#xff0c;下次更新不迷路&#…