1979 年 贝尔实验室发明 chroot
chroot的设计原理是:把一个进程的文件系统隔离起来。
chroot 系统调用可以将进程及其子进程的根目录更改为文件系统中的新位置。隔离以后,该进程无法访问到外面的文件,因此这个被隔离出来的新环境像监狱一样,被命名为 Chroot Jail (监狱)。后续测试只需要把测试信息放到 Jail 中就可以完成测试了。这一进步是进程隔离的开始:为每个进程隔离文件访问。所以 chroot 可以认为是容器技术的鼻祖。
2000 年 FreeBSD 4.0 发行 FreeBSD Jail
FrsBSD Jail:以实现其服务与其客户服务之间的明确分离,以实现安全性和易于管理。每个 Jail 都是一个在主机上运行的虚拟环境,有自己的文件、进程、用户和超级用户帐户,能够为每个系统分配一个IP 地址。
**FreeBSD Jail 不仅仅有 chroot 的文件系统隔离,并且扩充了独立的进程和网络空间。 **
2001 年 Linux VServer 发行
与 FreeBSD Jails 一样, Linux VServer 是一种监狱机制,可以对计算机系统上的资源(文件系统、网络地址、内存)进行分区。
云计算的目的:需要处理海量数据、超高并发、快速扩展等问题,**此时不仅仅需要隔离还需要能够对资源进行控制和调配。 **
2006 年 google 推出 Process Containers
Process Containers(由 Google 于 2006 年推出)旨在限制、统计和隔离一组进程的资源使用(CPU、内存、磁盘 I/O、网络)。一年后它更名为“Control Groups(cgroups)”。
2008 年 LXC 推出
LXC(Linux 容器)是 Linux 容器管理器的第一个、最完整的实现。它是在 2008 年使用 cgroups 和 Linux 命名空间实现的,它可以在单个 Linux 内核上运行,不需要任何补丁。
同时 Google 在 GAE 中使用了 Borg (Kubernetes 的前身)来对容器进行编排和调度。LXC 和 Borg 其实就相当于最早的 docker 和 k8s 。
2011 年 CloudFoundry 推出 Warden
2011 年启动了 Warden,早期使用 LXC,后来替换为自己的实现,直接对 Cgroups 以及 Linux Namespace 操作。开发了一个客户端-服务器模型来管理跨多个主机的容器集合,并且可以管理 cgroups、命名空间和进程生命周期。
2013 年 Docker 推出到风靡全球
Docker 在初期与 Warden 类似,使用的也是 LXC,之后才开始采用自己开发的 libcontainer 来替代 LXC,它是将应用程序及其依赖打包到几乎可以在任何服务器上运行的容器的工具。与其他只做容器的项目不同的是, Docker 引入了一整套管理容器的生态系统,这包括高效、分层的容器镜像模型、全局和本地的容器注册库、清晰的 REST API、命令行等等。
Docker 为提供了一整套的解决方案,不仅解决了容器化问题,而且解决了分发问题,很快被各大厂商选择变成了云基础设施,厂商围绕 Docker 也开始了生态建设。
云原生是一种构建和运行应用程序的方法,是一套技术体系和方法论。云原生(CloudNative)是一个组合词,Cloud+Native。Cloud表示应用程序位于云中,而不是传统的数据中心;Native表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳姿势运行,充分利用和发挥云平台的弹性+分布式优势。
k8s
容器只是解决了容器化,分发问题,但是一个软件的网络问题、负载均衡问题、监控、部署、更新、镜像管理、发布等很多问题并没有有效的解决。Google 内部调度系统 Borg 已经拥有 10 多年的使用容器经验,在 2014 年 6 月推出了开源的 K8S,可以支持对容器的编排和管理,完成生态的闭环。
最后发展的结果是:Kubernetes 已成了容器编排领域的绝对标准, Docker 已成容器事实的标准。containerd成为CRI(Container Runtime Interface 容器运行时接口) 实现标准。
什么是虚拟化和容器化?
物理机:实际的服务器或者计算机。相对于虚拟机而言的对实体计算机的称呼。物理机提供给虚拟机以硬件环境,有时也称为“寄主”或“宿主 。
虚拟化:是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
容器化:容器化是一种虚拟化技术,又称操作系统层虚拟化(Operating system levelvirtualization),这种技术将操作系统内核虚拟化,可以允许用户空间软件实例(instances)被分割成几个独立的单元,在内核中运行,而不是只有一个单一实例运行。这个软件实例,也被称为是一个容器(containers)。对每个实例的拥有者与用户来说,他们使用的服务器程序,看起来就像是自己专用的。容器技术是虚拟化的一种。docker 是现今容器技术的事实标准。
为什么需要容器化和虚拟化?
资源利用率高:将利用率较低的服务器资源进行整合,用更少硬件资源运行更多业务,降低 IT 支出和运维管理成本。
环境标准化:一次构建,随处执行。实现执行环境的标准化发布,部署和运维。开发过程中一个常见的问题是环境一致性问题。由于开发环境、测试环境、生产环境不一致,导致有些bug 并未在开发过程中被发现。而 Docker 的镜像提供了除内核外完整的运行时环境,确保了应用运行环境一致性。
资源弹性伸缩:根据业务情况,动态调整计算、存储、网络等硬件及软件资源。比如遇到双 11 了,把服务扩容 100 个,双 11 过去了, 把扩容的 100 个收回去。
差异化环境提供:同时提供多套差异化的执行环境,限制环境使用资源 。
容器对比虚拟机更轻量,启动更快: 传统的虚拟机技术启动应用服务往往需要数分钟,而 Docker 容器应用,由于直接运行于宿主内核,无需启动完整的操作系统,因此可以做到秒级、甚至毫秒级的启动时间。大大的节约了开发、测试、部署的时间。
应用程序执行环境分层
虚拟机:存在于硬件层和操作系统层间的虚拟化技术。 虚拟机通过“伪造”一个硬件抽象接口,将一个操作系统以及操作系统层以上的层嫁接到硬件上,实现和真实物理机几乎一样的功能。比如我们在一台 Windows 系统的电脑上使用 Android 虚拟机,就能够用这台电脑打开 Android 系统上的应用。
容器:存在于操作系统层和函数库层之间的虚拟化技术。 容器通过“伪造”操作系统的接口,将函数库层以上的功能置于操作系统上。
**以 Docker 为例,其就是一个基于 Linux 操作系统的 Namespace 和 Cgroup 功能实现的隔离容器,可以模拟操作系统的功能。**简单来说,如果虚拟机是把整个操作系统封装隔离,从而实现跨平台应用的话,那么容器则是把一个个应用单独封装隔离,从而实现跨平台应用。
**JVM之类的虚拟机 ** :JVM 就是在应用层与函数库层之间建立一个抽象层,对下通过不同的版本适应不同的操作系统函数库,对上提供统一的运行环境交给程序和开发者,使开发者能够调用不同操作系统的函数库。
主机虚拟化(虚拟机)实现
主机虚拟化的原理是通过在物理服务器上安装一个虚拟化层来实现。这个虚拟化层可以在物理服务器和客户操作系统之间建立虚拟机,使得它们可以独立运行。
从软件框架的角度上,根据虚拟化层是直接位于硬件之上还是在一个宿主操作系统之上,将虚拟化划分为 Type1 和 Type2。
Type1:Type1 类的 Hypervisor(Hypervisor 是一种系统软件,它充当计算机硬件和虚拟机之间的中介,负责有效地分配和利用由各个虚拟机使用的硬件资源,这些虚拟机在物理主机上单独工作,因此, Hypervisor 也称为虚拟机管理器。 )直接运行在硬件之上,没有宿主机操作系统, Hypervisor 直接控制硬件资源和客户机。典型框架为 Xen、 VmwareESX。
Type2:Type2 类的 Hypervisor 运行在一个宿主机操作系统之上(Vmware Workstation)或者系统里面,Hypervisor 作为宿主机操作系统中的一个应用程序,客户机就是在宿主机操作系统上的一个进程。
容器虚拟化实现
容器虚拟化,有别于主机虚拟化,是操作系统层的虚拟化。**通过 namespace 进行各程序的隔离,加上 cgroups 进行资源的控制,以此来进行虚拟化。 **
docker的三要素:镜像、容器、仓库。
docker的镜像(image)就是一个只读模板。镜像可以用来创建Docker容器,一个镜像可以创建多个容器。
从面向对象的角度
image就相对于一个root文件系统。比如官方镜像centos:7,就包含了完整的一套centos:7最小系统的root文件系统。docker镜像文件就相当于C++中的类模板,而容器实例化(docker run)类似于C++中new出来的实例对象。
从镜像容器角度
可以把容器看做是一个简单的Linux环境(包括root用户权限、进程空间、用户空间和网络空间)和运行在其中的应用程序。
docker run redis1
docker run redis2
仓库:是集中存放镜像文件的场所。
docker公司提供的官方reqistry被称为Docker Hub,存放各种镜像模板的地方。
仓库分为公开仓库和私有仓库两种形式。最大的公开仓库是Docker Hub(https://hub.docker.com/),存放了数量庞大的镜像供用户下载。国内公开的仓库有阿里云、网易云等。
docker执行流程
docker运行的原理
docker是一个Client-Server结构的系统,Docker守护进程运行在主机上,然后通过Socket连接从客户端访问,守护进程从客户端接受命令并管理运行在主机上的容器。
Docker 是一个 C/S 模式的架构,后端是一个松耦合架构,众多模块各司其职。
docker运行的基本流程为:
什么是namespace
namespace 是 Linux 内核用来隔离内核资源的方式。通过 namespace 可以让一些进程只能看到与自己相关的一部分资源,而另外一些进程也只能看到与它们自己相关的资源,这两拨进程根本就感觉不到对方的存在。具体的实现方式是把一个或多个进程的相关资源指定在同一个 namespace 中。
Linux namespaces 是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前namespace 里的进程,对其他 namespace 中的进程没有影响。
Linux 提供了多个 API 用来操作 namespace,它们是 clone()、 setns() 和 unshare() 函数,为了确定隔离的到底是哪项 namespace,在使用这些 API 时,通常需要指定一些调用参数: CLONE_NEWIPC、 CLONE_NEWNET、 CLONE_NEWNS、CLONE_NEWPID、 CLONE_NEWUSER、 CLONE_NEWUTS 和CLONE_NEWCGROUP。如果要同时隔离多个 namespace,可以使用 | (按位或)组合这些参数。
namesp ace | 系统调用参数 | 被隔离的全局系统资源 | 引入内 核版本 |
---|---|---|---|
UTS | CLONE_NEWUTS | 主机名和域名 | 2.6.19 |
IPC | CLONE_NEWIPC | 信号量、消息队列和共享内存 - - 进程间通信 | 2.6.19 |
PID | CLONE_NEWPID | 进程编号 | 2.6.24 |
Network | CLONE_NEWNET | 网络设备、网络栈、端口等 | 2.6.29 |
Mount | CLONE_NEWNS | 文件系统挂载点 | 2.4.19 |
User | CLONE_NEWUSER | 用户和用户组 | 3.8 |
以上命名空间在容器环境下的隔离效果:
Linux dd命令用于读取、转换并输出数据,主要作用是转换和拷贝文件。
dd可从标准输入或者文件中读取数据,根据指定的格式来抓换数据,再输入到文件、设备或者标准输出。
dd OPTION
字段 | 描述 |
---|---|
if | 代表输入文件。如果不指定if,默认就会从stdin中读取输入。 |
of | 代表输出文件。如果不指定 of,默认就会将 stdout 作为默认输出 |
bs | 代表字节为单位的块大小 |
count | 代表被复制的块数 |
/dev/zero | 是一个字符设备,会不断返回 0 值字节(\0) |
conv=ucase | 把字母由小写变为大写 |
conv=lcase | 把字母由大写变为小写 |
conv=noerror | 出差时不停止处理 |
参考案例
mkdir tmp
dd if=/dev/zero of=./tmp/dd_test1 bs=8k count=1024
dd命令的作用是:可以快速清空磁盘数据,磁盘备份。
dd if=/dev/zero of=/dev/sbd
拷贝一个文件
dd if=./dd_test2 of=./dd_test3 conv=ucase
/dev/zero介
/dev/zero是一个特殊的字符设备文件,当我们使用或读取它的时候,它会提供无限连续不断的空的数据流(特殊的数据格式流)主要使用场景有两个:
用于在设备上创建Linux文件系统,俗称格式化,比如我们的U盘就可以进行格式化
语法:
shell
mkfs [options] [-t <type>] [fs-options] <device> [<size>]
参数说明 | 描述 |
---|---|
-t --type | 文件系统类型;若不指定,将使用 ext2 |
fs -options | 实际文件系统构建程序的参数 |
device | 要使用的设备路径 |
size | 要使用设备上的块数 |
-V --verbose | 解释正在进行的操作;多次指定 -V 将导致空运行(dry-run) |
-V --version | 显示版本信息并退出,将 -V 作为 --version 选项时必须是惟一选项 |
-h --help | 显示此帮助并退出 |
案例:指定分区格式化为ext4格式
mkfs -t ext4 ./dd_test1
案例:格式化指定磁盘2G空间
mkfs /dev/sdb 2G
Linux df(英文全程:disk free)命令用于显示目前在Linux系统上的系统磁盘使用情况。
语法:
Shell
df [OPTION]... [FILE]...
参数说明 | 描述 |
---|---|
-a | –all 包含所有的具有0 Blocks的文件系统。 |
-h | –human-readable 使用人类可读的格式 |
-H | –si 很像-h参数,但是用1000单位而不是1024 |
-t | –type=TYPE 限制列车文件系统的TYPE |
-T | –print-type 显示文件系统的格式 |
df
《Linux挂载》一节讲到,所有的硬件设备必须挂载之后才能使用,只不过,有些硬件设备(比如硬盘分区)在每次系统启动时会自动挂载,而有些(比如 U 盘、光盘)则需要手动进行挂载。
mount命令用于加载文件系统到指定的加载点。此命令也常用于挂载光盘,使我们可以访问光盘中的数据,因为将光盘插入光驱在,Linux并不会自动挂载,必须使用Linux mount命令手动挂载。
Linux系统下不同目录可以挂载不同分区和磁盘设备,它的目录和磁盘分区是分离的,可以通过挂载进行自由组合。
不同的目录数据可以跨越不同的磁盘分区或者不同的磁盘设备。
挂载的实质是为了磁盘添加入口
mount语法
mount [-l]
mount [-t vfstype] [-o options] device dir
参数:
-l:显示已加载的文件系统列表。
-t:加载文件系统类型支持常见系统类型ext3、ext4、iso9660、tmpfs、xfs等,大部分清空可以不指定,mount可以自己识别。
-o:options 主要用来描述设备或档案的挂接方式。
device:要挂接(mount)的设备。
dir:挂载点的目录
mkdir -p ./data/testmymount
mount ./dd_test1 ./data/testmymount
df -h | grep data/testmymount
unshare主要的能力是使用与父进程不共享的名称空间运行程序。
语法:
shell
unshare [options] program [arguments]
参数说明 | 描述 |
---|---|
-i --ipc | 不共享IPC空间,信号量、消息队列和共享内存的隔离 |
-m --mount | 不共享Monut空间,不同的文件系统层次结构。 |
-n --net | 不共享Net空间,具有独立的网络资源。 |
-p --pid | 不共享PID空间 |
-u --uts | 不共享UTS空间 |
-U --user | 不共享用户空间 |
-V --version | 版本查看 |
– fork | 执行unshare的进程fork创建一个新的在子进程,在子进程里执行unshare传入参数 |
–mount -proc | 执行子进程钱,先将proc优先挂载过去 |
案例–UTS隔离
unshare -u /bin/bash
hostname testunshare1
hostname
通过unshare命令,我们实现了UTS级别的进程隔离。
隔离两个进程需要怎么办?
(1)首先容器进程与进程之间需要隔离,所以需要 PID 隔离
(2)首先容器 A 进程不能读取容器 B 进程通讯内容需要隔离信号量等,所以需要 IPC隔离
(3)首先容器 A 进程不能读取容器 B 进程的文件,所以需要 Mount 隔离
(4)首先容器 A 进程不能读取容器 B 进程的 socket,所以需要网络隔离、主机隔离
(5) Docker 允许用户在主机和容器间共享文件夹,同时不需要限制容器的访问权限,
这就容易让容器突破资源限制。需要借助用户空间来完成用户之间的隔离。
PID隔离
使用ps -ef,可以看到进程列表,进程ID为1的进程为:
unshare -p /bin/bash
这里报错的原因:
unshare创建的新的namespace会用unshare的PID作为新的空间的父进程。但是unshare进程不在新的namespace中,所以会出现cannot allocate memory错误。
解决办法:–fork创建一个新的进程。
unshare -p --fork /bin/bash
使用ps -ef查看PID,我们发现并没有实现PID级别的隔离,为什么?
原因:
在 Linux 系统中,/proc 目录是一个位于内存中的伪文件系统。该目录下保存的并不是真正的文件和目录,而是一些【运行时】的信息,如 CPU 信息、负载信息、系统内存信息、磁盘 IO 信息等。Linux下的每一个进程都要一个对应的/proc/PID目录。对于一个PID namespace而言,/proc目录只包含当前namespace和它所有子孙后代namespace里的进程信息。
创建新的PID namespace后,如果想让子进程中的top,ps等依赖/proc文件系统的命令工作,还需要挂载/proc文件系统。【一开始的ps,top等依赖挂载的是原来namespace的/proc目录系统】
unshare -p --fork --mount-proc /bin/bash
实现PID级别隔离成功。
mount隔离是通过隔离文件系统挂载点,实现文件系统级别的隔离。
案例:
unshare --mount /bin/bash
因为mount隔离的是文件系统挂载点,所以我们需要挂载一个文件挂载点。
创建一个文件块、格式化并挂载到目录下
mkdir -p data/mymount2
dd if=/dev/zero of=./mount2 bs=8k count=1024
mkfs -t ext4 ./mount2
mount ./mount2 ./data/mymount2
查看挂载点,观察其他进程是否可以看到mymount2挂载点。
结果是其他进程无法看到mymount2挂载点。
实现mount级别隔离成功。
向挂载的目录中创建文件,观察现象:
在该目录下创建文件,并查看文件内容。在该进程中可以看到文件和文件中的内容。
在其他进程中,无法看到文件和文件的内容。通过mount进行文件挂载点的隔离,可以实现文件系统的隔离操作。
什么是cgroups?
cgroups(Control Groups) 是 linux 内核提供的一种机制, 这种机制可以根据需求把一系列系统任务及其子任务整合(或分隔)【进程】到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。
简单说, cgroups 可以限制、记录任务组所使用的物理资源。本质上来说, cgroups 是内核附加在程序上的一系列钩子(hook),通过程序运行时对资源的调度触发相应的钩子以达到资源追踪和限制的目的。
为什么需要cgroups?
cgroups可以做到对 cpu,内存等资源实现精细化的控制。目前越来越火的轻量级容器Docker 及 k8s 中的 pod 就使用了 cgroups 提供的资源限制能力来完成 cpu,内存等部分的资源控制。
比如在一个既部署了前端 web 服务,也部署了后端计算模块的八核服务器上,可以使用 cgroups 限制 web server 仅可以使用其中的六个核,把剩下的两个核留给后端计算模块。
cgroup的用途:
cgroup可控制的系统:
blkio | 对块设备的 IO 进行限制。 |
---|---|
cpu | 限制 CPU 时间片的分配 |
cpuacct | 生成 cgroup 中的任务占用 CPU 资源的报告,与 cpu 挂载在同 一目录。 |
cpuset | 给 cgroup 中的任务分配独立的 CPU(多处理器系统) 和内存节 点。 |
devices | 限制设备文件的创建,和对设备文件的读写 |
freezer | 暂停/恢复 cgroup 中的任务。 |
memory | 对 cgroup 中的任务的可用内存进行限制,并自动生成资源占用 报告。 |
perf_event | 允许 perf 观测 cgroup 中的 task |
net_cls | cgroup 中的任务创建的数据报文的类别标识符,这让 Linux 流量 控制器(tc 指令)可以识别来自特定 cgroup 任务的数据包,并 进行网络限制。 |
hugetlb | 限制使用的内存页数量。 |
pids | 限制任务的数量。 |
rdma | 限制 RDMA 资源(Remote Direct Memory Access,远程直接数 据存取) |
pidstat概念
pidstat是sysstat的一个命令,用于监控全部或指定进程的CPU、内存、线程、设备、IO等系统资源的占用情况。
Pidstat第一次采样显示自系统启动开始的各项统计信息,后续采样将显示自上次运行命令后的系统信息。用户可以通过指定系统的次数和时间来获得所需的统计信息。
语法
pidstat [选项] [<时间间隔>] [<次数>]
参数:
下载
yum install sysstat
案例:实现监控mysql内存的使用情况,每秒监控一次,统计1000次:
pidstat -r -p ALL -C mysql -l 1 1000
stress概述
stress是Linux的一个压力测试工具,可以对CPU、内存、IO、磁盘进行压力测试。
语法:
shell
stress [OPTION [ARG] ]
-c, --cpu N:产生N个进程,每个进程都循环调用sqrt函数产生CPU压力。
-i, --io N:产生N个进程,每个进程循环调用sync将内存缓冲区内容写到磁盘上,产生IO压力。通过系统调用sync刷新内存缓冲区数据到磁盘中,以确保同步。如果缓冲区内数据较少,写到磁盘中的数据也较少,不会产生IO压力。在SSD磁盘环境中尤为明显,很可能iowait总是0,却因为大量调用系统调用sync,导致系统CPU使用率sys 升高。
-m, --vm N:产生N个进程,每个进程循环调用malloc/free函数分配和释放内存。
–vm-bytes B:指定分配内存的大小
–vm-stride B:不断的给部分内存赋值,让COW(Copy On Write)发生
–vm-hang N :指示每个消耗内存的进程在分配到内存后转入睡眠状态N秒,然后释放内存,一直重复执行这个过程
–vm-keep:一直占用内存,区别于不断的释放和重新分配(默认是不断释放并重新分配内存)
-d, --hdd N:产生N个不断执行write和unlink函数的进程(创建文件,写入内容,删除文件)
–hdd-bytes B:指定文件大小
–hdd-noclean:不要将写入随机ASCII数据的文件Unlink
-t, --timeout N:在N秒后结束程序
–backoff N:等待N微秒后开始运行
-q, --quiet:程序在运行的过程中不输出信息
-n, --dry-run:输出程序会做什么而并不实际执行相关的操作
–version:显示版本号
-v, --verbose:显示详细的信息
CPU压力测试工具
先使用pidstat启动一个监控进程,指定监控stress命令:
pidstat监控与stress命令相关的所有进程,查看CPU的使用情况,每两秒监控一次,共监控1000次
pidstat -C stress -p ALL -u 2 1000
开启两个CPU进程执行sqrt,60秒后结束。
stress --cpu 2 --timeout 60
查看监控结果:
IO测试
开启2个IO进程,执行sync系统调用,刷新内存缓冲区到磁盘。
stress --io 2 --timeout 60
使用stress无法模拟iowait升高,但sys升高。stress -i参数表示通过系统调用sync来模拟IO问题,但sync是刷新内存缓冲区数据到磁盘中,以确保同步。如果内存缓冲区内没多少数据,读写到磁盘中的数据也就不多,没法产生IO压力。使用SSD磁盘的环境中尤为明显,iowait一直为0,但因为大量系统调用,导致系统CPU使用率sys升高。
stress --io 2 --hdd 2 --timeout 60s
–hdd 2:产生2个不断执行write和unlink函数的进程(创建文件,写入内容,删除文件)。这样就避免了iowait一直是0的情况。
Memory测试
pidstat监控与stress命令相关的所有进程,查看CPU和Memory的使用情况,每两秒监控一次,共监控1000次
pidstat -C stress -p ALL -u -r 2 1000
开启2个进程分配内存,每次分配100MB内存,保持100秒后释放,100秒后退出。
stress --vm 2 --vm-bytes 100M --vm-hang 100 --timeout 100s
磁盘IO
开启两个进程,每次向磁盘写入10M的数据。等待20000微秒后运行。
stress --hdd 2 --hdd-bytes 10M --backoff 20000
cgroups版本查看
cat /proc/filesystems | grep cgroup
如果看到cgroup2,说明支持cgroup v2
cgroups子系统查看
cat /proc/cgroups
上面的内容,表示cgroups支持对哪些资源进行控制。
cgroups挂载信息查看
可以看到默认存储位置为/sys/fs/cgroup
mount | grep cgroup
查看一个进程的cgroup限制
查看当前进程的cgroup限制:$$表示当前进程的pid
cat /proc/$$/cgroup
比如:想要查看当前进程的cgroup的CPU限制信息,只需要在默认存储位下/sys/fs/cgroup,查找对应的限制资源目录即可:
查看该进程的CPU时间片:
cat /sys/fs/cgroup/cpu,cpuacct/user.slice/cpu.cfs_period_us
第一步:向cgroup中添加内存管理组。
mount | grep cgourp
cd /sys/fs/cgroup/memory
mkdir temp_memory
ll ./temp_memory
该cgroup内存组的配置如上,改变上述配置文件即可管理该资源组。比如tasks管理哪些进程在该资源组中,memory_limit_in_bytes限制了进程可使用的最大的内存大小。
第二步:使用stress创建一个进程,不断的开辟40M的内存;并使用pidstat监视进程的内存使用情况。
pidstat -C stress -p ALL -r 2 1000
stress --vm 2 --vm-bytes 40M --vm-hang 10
第三步:将temp_memory资源组的内存最大限制为20M,并将9714进程加入到资源组中;观察现象。
echo "20971820" > memory.limit_in_bytes
echo "9714" > tasks
进程启动失败,原因是cgroup限制了资源组的最大内存大小。
第一步:向cgroup中添加cpu管理组。
mount | grep cgroup
cd /sys/fs/cgroup/cpu
mkdir test_cpu
第二步:使用stress创建一个进程,打满cpu使用;并使用pidstat监视进程的cpu使用情况。cfs_period_us表示一个cpu带宽,cfs_quota_us表示cgroup可以使用的cpu的带宽。
stress -c 1
pidstat -C stress -p ALL -u 2 1000
第三步:将test_cpu资源组的cpu使用率最大限制为30%,并将进程加入到资源组中;观察现象。
设置cgroup使用率为30%,cpu使用率的计算公式为:cfs_quota_us/cfs_period_us
将cfs_quota_us的值修改为30000,就可以限制test_cpu的cpu使用率为30%。
echo "30000" > cpu.cfs_quota_us
echo "15095" > tasks
stress进程的cpu使用率被限制到30%。
什么是LXC?
LXC(LinuX Containers) Linux 容器,一种操作系统层虚拟化技术,为 Linux 内核容器功能的一个用户空间接口。它将应用软件系统打包成一个软件容器(Container),内含应用软件本身的代码,以及所需要的操作系统核心和库。
透过统一的名字空间和共享 API 来分配不同软件容器的可用硬件资源,创造出应用程序的独立沙箱运行环境,使得 Linux 用户可以容易的创建和管理系统或应用容器 。
LXC 是最早一批真正把完整的容器技术用一组简易使用的工具和模板来极大的简化了容器技术使用的一个方案
LXC的问题?
LXC 虽然极大的简化了容器技术的使用,但比起直接通过内核调用来使用容器技术,其复杂程度其实并没有多大降低,因为我们必须要学会 LXC 的一组命令工具,且由于内核的创建都是通过命令来实现的,通过批量命令实现数据迁移并不容易。其隔离性也没有虚拟机那么强大。同时LXC的跨平台跨主机的效果并不是很好。
后来就出现了 docker,所以从一定程度上来说, docker 就是 LXC 的增强版。
lxc-checkconfig:检查系统环境是否满足容器使用要求。
lxc-create:创建lxc容器
lxc-create -n NAME -t TEMPLATE_NAME [--template-options]
lxc-start:启动容器;格式:lxc-start -n NAME -d
lxc-ls:列出所有容器;-f表示打印常用信息
lxc-info:查看容器相关的信息;格式:lxc-info -n NAME
lxc-attach:进入容器执行命令;格式:lxc-attach --name=NAME [ --COMMAND ]
lxc-stop:停止容器;格式:lxc-stop -n NAME
lxc-destroy:删除处于停机状态的容器;lxc-destory -n NAME
LXC的安装
yum -y install lxc lxc-templates bridge-utils lxc-libs libcgroup libvirt lxc-extra debootstrap
# 启动和检查
systemctl start lxc #启动lxc服务
systemctl start libvirtd #启动虚拟机监控服务
systemctl status lxc #检查lxc是否启动
systemctl status libvirtd # 检查lxc虚拟机监控服务是否启动
可以看到我们的lxc服务已经成功启动
lxc虚拟机监控服务已经成功启动。
首先先检查LXC的系统环境是否支持
lxc-checkconfig
查看lxc支持哪些模板:
ll /usr/share/lxc/templates/
第一步:创建一个ubuntu环境,命名容器名为lxchost1,CPU架构为amd64。
lxc-create -t ubuntu --name lxchost2 -- -r xenial -a amd64
默认的user和password都是ubuntu。
第二步:启动容器
lxc-ls -f #查看有哪些可用的容器。
lxc-start -n lxchost1 -d #启动容器,-d表示在后台运行
lxc-ls -f #查看有哪些可用的容器。
第三步:进入容器查看信息
方法一:通过ssh连接ubuntu容器
ssh [email protected]
查看两台机器的区别:
ls /
可以看到ubuntu和宿主机已经发生了隔离。
方法二:lxc-attach进入容器
lxc-attach -n lxchost1 --clear-env -- /bin/bash
ps -ef
可以看到容器和宿主机发生了隔离效果。
第四步:容器的停止和删除
lxc-ls -f
lxc-stop -n lxchost1
容器已经停止运行。
删除容器时,需要保证容器已经停止运行。
lxc-destroy -n lxchost1
lxchost1容器已经被成功删除。