Linux cgroups 入门：驯服资源的狂野西部

从前（确切地说是2006年），在一个叫做谷歌的地方，工程师们正在处理一群狂野的进程。他们需要一种方法来控制这些资源消耗大户，于是，cgroups（控制组）诞生了。

快进到今天，cgroups已经成为容器化、虚拟化和系统稳定性的无名英雄。它们从简单的资源限制器演变为复杂的进程隔离器，在Docker和Kubernetes等技术中发挥着关键作用。

“给我cgroups，否则给我死亡！” - 如果帕特里克·亨利是Linux内核开发者的话

保镖的工具箱里有什么？

Cgroups提供了一套工具来保持系统的秩序：

• CPU限制：确保没有进程占用所有计算能力。
• 内存限制：防止内存消耗大的进程导致OOM（内存不足）情况。
• I/O控制：管理进程可以执行的磁盘I/O量。
• 网络优先级：决定哪些进程优先获得网络带宽。
• 进程隔离：防止吵闹的进程干扰其他进程。

这个保镖是如何工作的？

想象cgroups是一个树状结构。在根部，你有主cgroup，分支出各种子系统（CPU、内存等）。每个分支可以有自己的一套规则和限制。

这里是如何手动设置一个cgroup的快速示例：

# 创建一个新的cgroup
sudo cgcreate -g cpu,memory:mygroup

# 设置CPU和内存限制
echo 50000 > /sys/fs/cgroup/cpu/mygroup/cpu.cfs_quota_us
echo 100M > /sys/fs/cgroup/memory/mygroup/memory.limit_in_bytes

# 在这个cgroup中运行一个进程
cgexec -g cpu,memory:mygroup my_resource_hungry_app

但别担心，你通常不需要直接处理这些。现代工具抽象掉了大部分复杂性。

真实场景：当保镖拯救一天

场景1：失控的Web服务器

想象一下，你正在运行一个偶尔会失控的Web服务器，消耗掉所有的CPU。使用cgroups，你可以给它套上缰绳：

# 为你的Web服务器创建一个cgroup
sudo cgcreate -g cpu:/webserver

# 将其限制在50%的CPU
echo 50000 > /sys/fs/cgroup/cpu/webserver/cpu.cfs_quota_us

# 在这个cgroup中启动你的Web服务器
cgexec -g cpu:/webserver /path/to/your/webserver

场景2：内存消耗大的数据库

有一个数据库认为你的服务器的RAM是自助餐？让我们把它放在C组和容器中：天作之合

如果你使用过Docker或Kubernetes，你已经在不知不觉中受益于cgroups。这些容器化技术利用cgroups来确保每个容器在资源方面保持在自己的轨道上。

例如，当你运行一个带有资源限制的Docker容器时：

docker run --cpu-shares=512 --memory=1g my-awesome-app

Docker实际上是在后台设置cgroups来强制执行这些限制。

Cgroups v2：下一代

像任何好的保镖一样，cgroups一直在健身。结果？Cgroups v2，在Linux内核4.5中引入。它带来了简化的层次结构，更好的资源管理和改进的安全性。

关键区别包括：

• 单一的统一层次结构（不再为每个控制器设置单独的层次结构）
• 改进的压力滞后信息（PSI）以更好地监控资源
• 增强的安全性，无内部线程规则

最佳实践：保持你的系统顺畅运行

1. 不要过度限制：对你的限制要慷慨。你想防止滥用，而不是压制合法的工作。
2. 监控和调整：使用cgtop等工具来监控你的cgroups并根据需要进行调整。
3. 使用高级工具：除非你在做非常具体的事情，否则坚持使用像Docker或systemd这样的工具来管理cgroups。
4. 注意继承：子进程默认继承其父进程的cgroup。根据需要规划你的层次结构。

常见陷阱：开发者经常绊倒的地方

• 完全忽略cgroups：这可能导致资源争用和不稳定的系统。
• 设置的限制过低：这可能导致应用程序失败或性能不佳。
• 没有考虑所有资源：记住，不仅仅是CPU和内存。不要忘记I/O和网络资源。
• 忽视清理：未使用的cgroups可能会使你的系统混乱。完成后一定要清理。

总结：为什么你应该关心？

了解cgroups不仅仅是系统管理员或容器编排者的事情。作为开发者，了解cgroups的工作原理可以帮助你：

• 更有效地调试与资源相关的问题
• 编写更高效、资源感知的应用程序
• 更好地理解和利用容器化技术
• 优化你的开发和测试环境

所以，下次你在处理系统资源时，记住：内核中有一个保镖，它支持你。编码愉快，愿你的进程总是和谐相处！

进一步阅读

想深入了解cgroups的世界？查看这些资源：

• 官方Linux内核cgroups文档
• Red Hat关于cgroups的综合指南
• containerd/cgroups：用于创建、管理、检查和销毁cgroups的Go包

记住，能力越大，责任越大。明智地使用你新获得的cgroup知识，愿你的系统运行顺畅，资源保持平衡！