CGroups(Control Groups) 控制组:
用于实现容器的资源隔离。
可对进程做资源隔离。CPU和内存。
九大子系统。
应用案例。
扩展:
主机虚拟化实现资源隔离的方式
使用Hypervisor中的VMM实现资源隔离
PAM:
用户认证:
ssh、su、sudo、samba、ftp、gdm、kdm。
应用系统自带的认证系统。
apache认证方式。
资源限制:
ulimit命令:提高资源的限制量,仅针对用户进行限制。
文件描述符来限制文件数量。ulimit -n 10240
控制组:
控制组CGroups是Linux内核的一个特征,主要用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源,才能避免多个容器同时运行时对宿主机系统的资源竞争。控制组可以提供对容器的CPU、内存、磁盘、IO等资源进行限制和计费管理。控制组的设计目标是为不同的应用情况提供统一的接口,从控制单一进程(比如nice工具)到系统级虚拟化(包括OpenVZ、Linux-Server、LXC等)
具体来看,控制组提供:
资源限制:可以将组设置为不超过设定的内存限制。比如:内存子系统可以为进程组设定一个内存使用上限,一旦进程组使用的内存达到限额再申请内存,就会出现Out of Memory警告。
优先级:通过优先级让一些组优先得到更多的CPU等资源。
资源审计:用来统计系统实际上把多少资源用到适合的目的上,可以使用cpuacct子系统记录某个进程组使用的CPU时间。
隔离:为组隔离命名空间,这样一个组不会看到另一个组的进程、网络连接和文件系统。
控制:挂起、恢复和重启等操作。
安装docker之后,用户可以在/sys/fs/cgroup/memory/docker/目录下看到对Docker组应用的各种限制项,包括:
cd /sys/fs/cgroup/memory/docker
ls用户可以通过修改这些文件值来控制组限制Docker应用资源。
cgroups将各种子系统定义为资源,命名为controller。
可配额/可度量-Controller Groups(cgroups):
cgroups实现了对资源的配额和度量九大子系统的资源。
1、blkio:限制每个块设备的输入输出控制。例如:磁盘、光盘以及usb。
2、cpu:限制使用CPU比例。
3、cpuacct:产生cgroup任务的cpu资源报告。
4、cpuset:多核心的cpu时为cgroup任务分配单独的cpu和内核。
5、devices:允许和拒绝对设备的访问。
6、freezer:暂停和恢复cgroup的任务。
7、memory:设置内存限制以及产生内存资源报告。
8、net_cls: 标记每个网络包。
9、ns:名称命名空间。
