云计算必备技能:Linux cgroup和Kubernetes Namespace详解

原创 已于 2024-06-12 23:47:05 修改 · 1.4k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #linux #云计算 #运维

于 2024-06-12 23:46:19 首次发布

在这里插入图片描述

在Linux和Kubernetes(K8s)中,cgroup(control group)和namespace都是用于资源隔离和管理的重要技术。它们各自的原理、相似之处、不同点以及应用场景如下:

一、cgroup(控制组)

原理

cgroup是Linux内核的一项特性,用于限制、控制和监视进程组所使用的资源。它主要管理以下几类资源:

  • CPU:限制进程组使用的CPU时间。
  • 内存:限制进程组使用的内存量。
  • I/O:限制进程组的磁盘和网络I/O。
  • 网络:控制进程组的网络带宽。

cgroup通过创建层次结构(hierarchies)来组织不同的控制组,每个层次结构包含一个或多个子系统(subsystems),如CPU、内存等。进程可以被分配到不同的cgroup,从而对它们的资源使用进行细粒度的控制。

应用场景
  • 资源限制:确保某些进程不会耗尽系统资源。
  • 优先级管理:分配不同的资源优先级,确保关键进程得到优先资源。
  • 监控和审计:跟踪进程的资源使用情况。
  • 隔离性:在容器化应用中,cgroup用于隔离容器的资源使用。

二、Kubernetes中的Namespace

最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux内存管理(84):cgroup v2 简介
私房菜
06-27 633
术语:cgroup:control group 的缩写,永不大写(never capitalized);单数形式的 cgroup 用于指定整个特性,也用作等术语中的修饰符;复数形式的 cgroups 显式指多个独立的;cgroup 是一种机制,它将系统进程按照分层组织,并沿着这种分层以一个可控、可配置的方式来分配系统资源。
1-10、linux系统-cgroupnamespace
最新发布
xuebo1129927648的博客
06-23 140
Linux 内核提供的一种资源管理机制,用于对进程组的资源使用进行限制、记账隔离。其核心目标是解决多任务环境下的资源竞争问题,为容器技术(如 Docker、Kubernetes)提供底层支撑。
Linux】进程的隔离控制:namespace 隔离、cgroup 控制
m0_67470729的博客
05-04 1719
工具 dd、mkfs、df、mount、unshare、pidstat、stress 的使用 包括名称隔离的示例,控制组进行内存控制、cpu资源控制的示例
Linux中的cgroupsnamespace
魏波
07-08 790
1、可怜的容器,被Namespace欺骗,又被Cgroups限制,在这样的环境下还发挥着自己生命的意义,与应用程序同生共死。2、cgroups只限制资源上限,并不能否锁定下限,很容易被抢资源,所以需要kubernetes 来帮你做调度。3、Cgroup限制的是物理内存(内存分为虚拟内存物理内存),限制虚拟内存的group要加memsw。 总结:容器的资源隔离(进程视图)是通过linux namespace实现(进程启动时指定namespace参数),容器的资源限制(cpu,memory大小等)是通过li
K8S cgroups详解
sre救赎之路
05-11 919
以下是 Kubernetescgroups(Control Groups) 的详细解析,涵盖其核心原理、在 Kubernetes 中的具体应用及实践操作:cgroups 是 Linux 内核提供的 资源隔离与控制机制,用于限制、统计监控进程组(如容器)的资源使用。可管理的资源类型:CPU:分配核心数、时间片权重内存:限制最大使用量、Swap 控制I/O:磁盘网络带宽限制进程数:防止 fork bomb设备访问:限制特定设备使用Kubernetes 通过 Resource Requests/Limi
Linux cgroup & namespace - Series I
oneslide
10-07 892
Docker基于Linux内核特性,实现了轻量级的操作系统概念。所谓轻量级的操作系统,也就意味着进程ID,内存,网络等都是独立的,为了使容器(轻量级操作系统)能够在物理机上运行,需要在物理机上对这些容器做出资源做出规划,比如允许使用多少带宽,内存等。 为了对一组进程进行资源规划资源隔离,看了这么多,我觉得Namespace(命名空间)是用来作资源隔离的,Cgroup(控制组)是用来做资源限制的。.........
云计算Namespace
weixin_67606870的博客
09-19 284
事实上,开发Namespace的主要目的之一就是实现轻量级的虚拟化服务,在同一^Namespace下的进程可以彼此响应,而对外界进程隔离,这样在ー个进程仿佛处于ー个独立的 系统环境中,以达到容器的目的。上面说得比较概念化,下面我们来实践一下,因为是在Linux内核3.8版之后オ 支持的,所以本节讨论的Namespace均是Linux内核3.8以后的版本。使用unshare在已有进程上进行Namespace隔离unshareclone。
Linux NamespaceCgroup
weixin_34025051的博客
06-10 839
为了方便阅读,将自己写的所有关于namespacecgroup的文章统一列在这里,希望对有需要的人有所帮助,后续有新的内容后将会更新这里的列表。 namespace 包含了Linux目前常用的6个namespace的介绍 Linux Namespace系列(01):Namespace概述 Linux Namespace系列(02):U...
Kubernetes_CGroupNamespace(从LinuxKubernetes)
毛毛的专栏
02-11 1094
Linuxcgroup配置到Kubernetes中的cgroup配置
认识Docker底层原理:Linux内核的NamespaceCgroupUnionFS
分享记录学习过程
05-23 1820
namespacesDocker使用一种名为命名空间的技术来提供被称为容器的隔离工作空间。当您运行一个容器时,Docker会为该容器创建一组命名空间。这些命名空间提供了一层隔离。容器的每个方面都在一个独立的命名空间中运行,其访问权限仅限于该命名空间。Docker容器技术的核心架构建立在Linux内核提供的三大关键技术之上:NamespaceCgroupUnionFS。这些技术共同确保了容器在隔离性、资源管理文件系统效率方面的高效运作。
关于k8s的隔离namespacecgroup
qq_43340814的博客
08-24 3055
容器技术中一个非常重要的概念,容器是一个单进程模型。 用户的应用进程就是容器里面PID=1的进程,其他后续创建的进程都是这个进程的子进程,意味着你没法运行两个不同的应用,除非找到一个公共的PID=1的程序来充当两个不同程序的父进程。 关于两者关系 namesapce主要是隔离作用,cgroups主要是资源限制,联合文件主要用于镜像分层存储管理,runC是运行时,遵循了oci接口,一般来说基于libcontainer。网络主要是docker单机网络多主机通信模式。 namespace 是用来做资源隔离,
Docker与Kubernetes系列(六): Docker的原理2_Linux CGroup
沈鸿斌的博客
02-23 2584
这段时间工作中用到了Docker以及Kubernetes(简称K8S),现在整理下我学习Docker以及K8S过程中看的一些比较好的资料,方便自己回顾,也希望能给容器小白一些帮助。给自己定一个小目标,二月底之前完成。 这是本系列的第六篇文章, 将介绍Docker的原理之CGroup。 前面,我们介绍了Linux Namespace,但是Namespace解决的问题主要是环境隔
彻底搞懂 Kubernetes 中的 Cgroup
云原生实验室
07-19 3244
❝本文转自田飞雨的博客,原文:https://www.jianshu.com/p/dd7b6b6fe1a0,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yangcgroups 简介❝cgroups(是 control groups 的简写)是 Linux 内核的一个功能,用来限制、控制与分离一个进程组的资源(如 CPU、内存、磁盘输入输出等)...
linux namespace and cgroup
weixin_34364071的博客
11-20 284
namespace参考 coolshell.cn/articles/17… coolshell.cn/articles/17… www.infoq.com/cn/articles… www.ibm.com/developerwo… yeasy.gitbooks.io/docker_prac… coolshell.cn/articles/17… www.infoq.com/cn/articles...
Kubernetes攻防 | 容器逃逸 - 创建cgroup
Trollz的博客
03-15 860
Kubernetes attack and defense | container escape - create cgroup
linux c 进程组,Linux namespaceCgroup简述 | 求索阁
weixin_36483061的博客
04-30 350
Namespace概述Namespace 用于不同进程组之间的资源隔离,其目的是将某个特定的全局系统资源(global system resource)通过抽象方法使得namespace 中的进程看起来拥有它们自己的隔离的全局系统资源实例。Linux 内核中实现了六种 namespace,按照引入的先后顺序,列表如下:namespace引入内核版本被隔离的全局系统资源在容器语境下的隔离效果Moun...
什么是linux Cgroup docker openstack kubernetes
wjw7869的专栏
08-20 585
Cgroups是control groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO等等)的机制。最初由google的工程师提出,后来被整合进Linux内核。Cgroups也是LXC为实现虚拟化所使用的资源管理手段,可以说没有cgroups就没有LXC。 docker 是单个host上的容器...
linux cgroupkubernetes limit
qq_35679620的博客
01-11 801
linux cgroupkubernetes limit Cgroups功能的实现依赖于四个核心概念:子系统、控制组、层级树、任务。 kubernets设置limit最终设置在了哪里
LinuxNamespaceCgroups介绍
weixin_34138377的博客
11-09 4036
Namespace 的概念 Linux Namespace 是kernel 的一个功能,它可以隔离一系列系统的资源,比如PID(Process ID),User ID, Network等等。一般看到这里,很多人会想到一个命令chroot,就像chroot允许把当前目录变成根目录一样(被隔离开来的),Namesapce也可以在一些资源上,将进程隔离起来,这些资源包括进程树,网络接口,挂载点等等。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ztxlearning

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值