管理容器的资源:深入理解 Cgroup 机制

原创 于 2025-11-01 16:29:46 发布 · 905 阅读 · 17 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#docker #容器 #Cgroup

管理容器的资源:深入理解 Cgroup 机制

🧩 管理容器的资源:深入理解 Cgroup 机制

Docker 能够高效地运行多个容器、并精确地控制它们的 CPU、内存、I/O 等资源,
这背后的“魔法”来自 Linux 的 Cgroup(Control Groups)

本文将带你深入理解 Cgroup 的原理、类别、Docker 如何使用它,以及如何亲手限制容器资源。

🧠 一、Cgroup 是什么?

Cgroup(Control Groups) 是 Linux 内核提供的一种机制,用于:

  • 限制(Limit)
  • 统计(Account)
  • 隔离(Isolate)

一组进程对系统资源(如 CPU、内存、I/O、进程数等)的使用情况。

换句话说,Cgroup 是 Linux 系统的“资源管理底层”
Docker、Kubernetes、systemd 都是通过它来实现容器化资源控制的。

⚙️ 二、为什么容器需要 Cgroup?

如果没有 Cgroup,所有容器运行在宿主机上时:

  • 容易出现某个容器独占 CPU;
  • 内存泄漏会导致宿主机 OOM;
  • I/O 密集型容器可能拖慢整个系统。

通过 Cgroup,Docker 能为每个容器设定“上限”,例如:

  • CPU 只能用 20%
  • 内存最多 512MB
  • 最多允许 100 个进程
  • 限制磁盘写入速率 10MB/s

🧩 这样,每个容器都像被分配了独立的资源配额,互不干扰。

🔍 三、Cgroup 的结构与版本

🪜 1. 树状层级结构

Cgroup 将系统中的进程组织成一个树状结构。
每个节点是一个 控制组(control group),每个组可绑定若干控制器。

示意图:

cgroup
 ├── docker
 │    ├── container_1
 │    └── container_2
 └── system.slice

每个控制组可以定义自己的资源限制文件,例如:

/sys/fs/cgroup/docker/container_1/memory.max
/sys/fs/cgroup/docker/container_1/cpu.max

🧩 2. 控制器类型(常用)

控制器说明
cpu限制进程使用 CPU 的时间
cpuacct统计 CPU 使用量
memory限制内存使用
pids限制进程数
blkio限制磁盘 I/O 速率
devices控制设备访问权限
cpuset控制进程可运行的 CPU 核心

🧬 3. Cgroup v1 与 v2 区别

对比项v1v2
控制器结构各自独立统一管理
层级模型控制器可挂载多次单一树结构
文件接口分散复杂简洁一致
Docker 默认旧版使用 v1新版全面支持 v2

📌 新系统(如 Ubuntu 22+、RHEL 9+)默认使用 Cgroup v2

🧱 四、Docker 如何使用 Cgroup?

Docker 通过 libcontainer 与内核交互,为每个容器创建独立的控制组:

示意图:

/sys/fs/cgroup/
 ├── system.slice
 ├── user.slice
 └── docker/
      ├── 2b8f2a1b.../
      │    ├── cpu.max
      │    ├── memory.max
      │    └── pids.max
      └── ...

这些文件中保存的就是资源配额数据。
当容器进程启动时,Docker 会把它加入对应的 cgroup 中。

⚡ 五、Docker 中的资源限制实战

Docker 的资源限制其实就是对 Cgroup 文件的封装。
例如:

💾 限制内存使用

docker run -d --name mem_test --memory=200m ubuntu sleep 1000

效果:容器最大只能用 200MB 内存。
超过时,系统会触发 OOM(Out Of Memory) 杀死容器进程。

🧮 限制 CPU 使用

docker run -d --name cpu_test --cpus=0.5 ubuntu sleep 1000

效果:容器最多使用 50% CPU 时间。

🧩 限制进程数量

docker run -d --name pids_test --pids-limit=50 ubuntu sleep 1000

效果:容器最多可创建 50 个进程,防止 fork 炸弹。

🧱 限制磁盘 I/O

docker run -d --name io_test --device-write-bps /dev/sda:10mb ubuntu dd if=/dev/zero of=/tmp/test bs=1M count=100

效果:磁盘写入速度被限制为 10MB/s。

🔬 六、手动使用 Cgroup 限制资源(原生命令演示)

下面我们动手体验下 原生 cgroup 操作,理解 Docker 背后做了什么。

1️⃣ 创建控制组

sudo mkdir /sys/fs/cgroup/testgroup

2️⃣ 限制内存

echo $((100*1024*1024)) | sudo tee /sys/fs/cgroup/testgroup/memory.max

3️⃣ 启动测试进程

stress --vm 1 --vm-bytes 200M --timeout 30s &
echo $! | sudo tee /sys/fs/cgroup/testgroup/cgroup.procs

效果:该进程被限制为 100MB 内存,超过时会被系统 OOM 杀死。

📊 七、资源监控与调优

查看 cgroup 使用状态:

cat /sys/fs/cgroup/testgroup/memory.current
cat /sys/fs/cgroup/testgroup/cpu.stat

在 Docker 中查看容器资源使用:

docker stats

示例输出:

CONTAINER ID   NAME         CPU %   MEM USAGE / LIMIT   MEM %   NET I/O
c72bdf13e     mem_test     49.7%   180.4MiB / 200MiB   90.2%   1.5kB / 0B

💡 八、Cgroup 与 Namespace 的关系

功能机制说明
隔离Namespace控制容器“能看到什么”
限制Cgroup控制容器“能用多少”

🧠 一句话理解:

Namespace 提供“边界”,Cgroup 提供“配额”。

🧭 九、总结

功能Cgroup 控制项Docker 参数
CPUcpu.max--cpus
内存memory.max--memory
进程数pids.max--pids-limit
I/Oio.max--device-read-bps / --device-write-bps

Cgroup 是容器资源管理的核心基础
✅ Docker、Kubernetes 都是基于它构建的高层封装
✅ 理解 Cgroup = 理解容器资源管理的本质

📚 延伸阅读

🧩 一句话记忆:
Cgroup 是容器的“资源警察”,
负责限制、统计、调度一切可被度量的系统资源。

【Kubernetes】Kubernetes 与 cgroup v2:深入理解下一代资源控制机制
最新发布
九师兄
01-03 207
Kubernetes cgroup v2:下一代资源控制机制解析 摘要:cgroup v2是Linux新一代资源管理API,相比v1版本具有统一层级、更强隔离、压力监控等优势。Kubernetes从1.25版本开始稳定支持cgroup v2,要求系统内核5.8+、使用systemd驱动。迁移时需注意监控工具、Java/Go应用的兼容性问题。cgroup v2通过单一树形结构管理所有资源,提供更精确的PSI压力指标,能有效提升容器资源管控能力。建议生产环境使用默认支持cgroup v2的现代Linux发行版(
linux中cgroup的简单使用
Java+GO+JS全栈工程师-鹤冲天的博客:编程辅导~商务合作~技术交流
07-21 4319
Linux CGroup全称Linux Control Group, 是Linux内核的一个功能,用来限制,控制与分离一个进程组群的资源(如CPU、内存、磁盘输入输出等)。这个项目最早是由Google的工程师在2006年发起(主要是Paul Menage和Rohit Seth),最早的名称为进程容器(process containers)。在2007年时,因为在Linux内核中,容器(container)这个名词太过广泛,为避免混乱,被重命名为cgroup,并且被合并到2.6.24版的内核中去。
Linux cgroup介绍
weixin_42788640的博客
04-07 4253
为什么要有cgroup Linux系统中经常有个需求就是希望能限制某个或者某些进程的分配资源。也就是能完成一组容器的概念,在这个容器中,有分配好的特定比例的cpu时间,IO时间,可用内存大小等。于是就出现了cgroup的概念,cgroup就是controller group,可用来限制、记录、隔离进程组的物理资源,最初由google的工程师提出,后来被整合进Linux内核中。 cgroup的功能 cgroup是将任意进程进行分组化管理的Linux内核功能。cgroup本身提供将进程进行分组化管理的功能和接口
深入CGroup框架--基础篇
奇小葩
08-15 4196
CGroup 全称是 Control Group,顾名思义,它是用来做“控制”的。控制什么东西呢?当然是资源的使用了。那它都能控制哪些资源的使用呢?本章主要进行总结,主要涉及到以下方面 what:什么是cgroup以及cgroup的内核实现 why: 能解决什么问题 How: 如何使用cgroup 1. 什么是cgroup cgroup是Linux下的一种将进程按组进行管理机制,在用户层看来,cgroup技术就是把系统中的所有进程组织成一颗一颗独立的树,每棵树都包含系统的所有进程,树的每个节点是
Cgroup概述
GaoChuang_的博客
12-04 1万+
一、Cgroup的目的 Cgroup和namespa类似,也是将进程进程分组,但是目的与namespace不一样,namespace是为了隔离进程组之前的资源,而Cgroup是为了对一组进程进行统一的资源监控和限制。 二、为什么需要Cgroup 在Linux里,对进程进程分组,比如Session group、process group等,后来需要追踪一组进程的内存和IO使用情况,出现了cgroup,用来统一对进程进行分组,并在分组的基础上对进程进程监控和资源控制管理等。 三、...
使用cgroup踩过的坑
weixin_38184628的博客
02-18 7719
cgroup 全称 control group,控制组。通过 cgroup 可以限制应用使用的资源资源包括 cpu、内存、磁盘 io、网络等。工作中经常使用的 docker 容器就使用了 cgroup 进行资源限制和隔离,cgroupdocker 的基础。
深入理解 Cgroup:Linux 资源控制详解与实战
CharlesYuangc的博客
11-01 1056
资源类型设置方法结果💾 内存超出即被 OOM 杀死🧮 CPU限制在 50% CPU 使用率👥 进程数无法创建新进程(返回 fork: Resource temporarily unavailable)
HoRain云--深入理解容器核心技术:从原理到实践的cgroup完全解析
2401_86544677的博客
02-21 925
通过对cgroup的深度解析,我们不仅能更好地理解容器技术的底层原理,更能在实际运维中实现精准的资源管控。建议结合Linux内核文档进行拓展阅读,掌握cgroup-v2的最新特性。
[Linux]从内核到容器深入剖析Linux命名空间与cgroup资源隔离机制
BAIVK的博客
10-11 328
Linux命名空间和cgroup共同构成了容器技术的底层支柱。命名空间提供了环境隔离,为进程营造了独立的运行沙盒;cgroup提供了资源隔离,确保了进程对资源的使用是可控且公平的。二者从不同的维度解决了隔离性问题,它们的紧密结合使得轻量级、高性能的虚拟化——容器化得以实现。深入理解这两大机制,对于掌握容器技术的原理、进行系统级调优以及排查复杂问题都至关重要。
linux 内核资源配置--cgroups详解以及在docker中的应用
岳来的博客
06-21 7313
linux 内核资源配置--cgroups详解以及在docker中的应用
Linux资源隔离基础(一):cgroup
m0_50499434的博客
10-29 2868
Linux内核负责系统中所有硬件的可靠交互。这不仅包括使操作系统理解硬件的必要代码,还涉及限制特定程序对系统资源的占用。内核必须将系统内存合理分配给各个应用程序,以确保计算机的正常运行。通常情况下,Linux系统可以让大多数应用程序无限制地运行,而不会出现问题,因为应用程序间能够良好地协同工作。但是,如果某个程序出现故障并开始占用所有可用内存,会发生什么呢?为应对此类情况,内核引入了OOM(Out Of Memory) Killer机制
linux操作系统原理与应用 pdf_Linux下cgroup的原理及应用
weixin_39639040的博客
11-23 625
什么是cgroup是什么CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups) 所使用的物力资源 (如 cpu memory i/o 等等) 的机制。2007 年进入 Linux 2.6.24 内核,CGroups 不是全新创造的,它将进程管理从 cpuset 中剥离出来,作者是 Google 的 Paul...
Cgroup
m0_60360828的博客
02-06 1535
目录一、Cgroup基本信息二、CPU使用率控制1、CPU使用率基本信息2、CPU使用率控制的方式3、利用stress压力测试工具来进行测试4、CPU周期5、限制CPU内核的使用三、内存限额四、Block I/O的限制五、bps和iops的限制 一、Cgroup基本信息 ​ docker中对资源进行控制的方式是使用Cgroup,开控制资源,K8S中也有limit来控制资源docker通过Cgroup来控制勇气使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖常见的资源配额和使用量控制
cgroup基础介绍
内核工匠
02-17 4512
一项新概念的产生,必然有其原因,cgroup也不例外,最初由谷歌工程师Paul Menage和Rohit Seth提出【1】:因为计算机硬件能力越来越强大,为了提高机器的使用效率,可以在同一台机器上运行不同运算模型的工作。开始是用process container来命名,后来因为Container有多重含义容易引起误解,就在2007年更名为Control Groups,并被整合进2.6.24内核,...
深入浅出cgroup
内核工匠
09-03 3744
一、什么是cgroupCgroup是linux内核用来控制系统资源机制,它将操作系统中的所有进程以组为单位划分,给这一组进程定义对某一类资源特定的访问权限。Cgroup用子系统(subs...
docker 底层知识】cgroup 原理分析
热门推荐
zhonglinzhang
03-22 2万+
一. cgroup 相关概念解释 Cgroups提供了以下功能: 限制进程组可以使用的资源(Resource limiting ):比如memory子系统可以为进程组设定一个memory使用上限,进程组使用的内存达到限额再申请内存,就会出发OOM(out of memory) 进程组的优先级控制(Prioritization ):比如可以使用cpu子系统为某个进程组分配cpu sha...
cgroup 资源控制介绍
wyq2070857323的博客
04-25 1902
cgroups,是一个非常强大的linux内核工具,他不仅可以限制被 namespace 隔离起来的资源, 还可以为资源设置权重、计算使用量、操控进程启停等等。所以 cgroups(Control groups)实现了对资源的配额和度量。Cgroup(Control Groups)是一个Linux内核的特性,通过内核来限制记录和隔离进程组的系统资源使用(CPU/内存/磁盘I/O等)
容器技术——Cgroup
General_zy的博客
11-26 3266
物理机利用率上去了;服务器宕机了,所有应用都会宕机;需求:1. 把单台物理机的利用率提高;2. 把应用分散到逻辑上不同的主机中,应该做到不同应用的环境隔离,分离出不同职能的应用,如负责负载均衡,负责数据库…的应用虚拟化技术:为了同时满足上述两个需求,于是诞生了虚拟化技术,例如win下的vmware workstation,linux下的kvm,还有esxi、xen等;
Linux CGroup 原理
路先生的杂货铺,学习总结+好文分享
06-03 3700
cgroups是Linux下控制一个(或一组)进程的资源限制机制,全称是control groups,可以对cpu、内存等资源做精细化控制。开发者可以直接基于cgroups来进行进程资源控制,比如8核的机器上部署了一个web服务和一个计算服务,可以让web服务仅可使用其中6个核,把剩下的两个核留给计算服务。
cgroup 简介
sinat_34467747的博客
12-19 2718
cgroup 的功能在于将一台计算机上的资源(CPU,memory,network)进行分片,来防止进程间不利的资源抢占。 术语cgroup:关联一组 task 和一组 subsystem 的配置参数。 一个 task 对应一个进程,cgroup资源分片的最小单位。 subsystem:资源管理器,一个 subsystem 对应一项资源管理,如 cpu, cpuset,memroy 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

君九@DBA

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值