活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 算力套餐
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

Docker容器隔离技术

虚拟私有云容器实例容器
2023-08-10 07:15:13
23
0

在容器里执行top指令,会发现,它显示的信息是宿主机的CPU和内存数据,而不是当前容器的数据。造成该问题的原因在于,容器通过Cgroups来为容器进程设置资源限制,但是/proc 文件系统并不知道用户通过Cgroups给这个容器做了什么样的资源限制,/proc 文件系统不了解Cgroups限制的存在。

# 启动一个容器
teledb@teledb-XPS-8930:~$ docker run -it -m 256m --memory-swap 256m centos /bin/bash
[root@5dc9ff32e459 /]# top 查看发现并没有获取到正确的资源限制

执行top命令查看,发现容器没有获取到正确的资源限制

解决思路

宿主机上执行top指令,是从/proc/stats 目录下获取数据,所以容器不挂载宿主机的该目录即可。lxcfs可实现该功能,它将宿主机的/var/lib/lxcfs/proc/meminfo文件挂载到Docker容器的/proc/meminfo 位置后,容器中进程读取相应文件内容后,lxcfs的fuse实现会从容器对应的Cgroups中读取正确的内存限制,从而使应用获取正确的资源约束。

lxcfs安装

# yum install offline
[ceph@k8s-master lxcfs-4.0.7] sudo yum install -y --downloadonly --downloaddir=/data/tzj/rpm fuse fuse-lib fuse-devel
[ceph@k8s-master lxcfs-4.0.7] sudo yum localinstall /data/tzj/rpm/*.rpm

# make
[ceph@k8s-master lxcfs-4.0.7] cd docker/lxcfs-4.0.7/
[ceph@k8s-master lxcfs-4.0.7] ./configure
[ceph@k8s-master lxcfs-4.0.7] make
[ceph@k8s-master lxcfs-4.0.7] sudo make install

# test
[ceph@k8s-master lxcfs-4.0.7]$ lxcfs -v
4.0.7

隔离测试

[ceph@k8s-master docker] sudo mkdir -p /var/lib/lxcfs
[ceph@k8s-master docker] sudo lxcfs /var/lib/lxcfs
sudo: lxcfs: command not found
# bash -c error too,use root users
[root@k8s-master docker]# lxcfs /var/lib/lxcfs
Running constructor lxcfs_init to reload liblxcfs
mount namespace: 4
hierarchies:
  0: fd:   5: name=systemd
  1: fd:   6: perf_event
  2: fd:   7: memory
  3: fd:   8: cpu,cpuacct
  4: fd:   9: hugetlb
  5: fd:  10: blkio
  6: fd:  11: net_cls,net_prio
  7: fd:  12: cpuset
  8: fd:  13: pids
  9: fd:  14: freezer
 10: fd:  15: devices
Kernel supports swap accounting
api_extensions:
- cgroups
- sys_cpu_online
- proc_cpuinfo
- proc_diskstats
- proc_loadavg
- proc_meminfo
- proc_stat
- proc_swaps
- proc_uptime
- shared_pidns
- cpuview_daemon
- loadavg_daemon
- pidfds

再次运行docker容器

docker run -it centos /bin/bash

通过lxcfs运行

docker run -it -m 256m --memory-swap 256m \
      -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
      -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
      -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
      -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
      -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
      -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
      centos /bin/bash

执行top命令,成功获取到正确的资源限制

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
福尔摩斯军
8文章数
0粉丝数
福尔摩斯军
8 文章 | 0 粉丝
Ta的热门文章查看更多
RAID研究Docker容器隔离技术Linux下NFS服务的搭建与配置MongoDB添加SSL连接认证MongoDB源码编译安装
福尔摩斯军
8文章数
0粉丝数
福尔摩斯军
8 文章 | 0 粉丝
原创

Docker容器隔离技术

虚拟私有云容器实例容器
2023-08-10 07:15:13
23
0

在容器里执行top指令,会发现,它显示的信息是宿主机的CPU和内存数据,而不是当前容器的数据。造成该问题的原因在于,容器通过Cgroups来为容器进程设置资源限制,但是/proc 文件系统并不知道用户通过Cgroups给这个容器做了什么样的资源限制,/proc 文件系统不了解Cgroups限制的存在。

# 启动一个容器
teledb@teledb-XPS-8930:~$ docker run -it -m 256m --memory-swap 256m centos /bin/bash
[root@5dc9ff32e459 /]# top 查看发现并没有获取到正确的资源限制

执行top命令查看,发现容器没有获取到正确的资源限制

解决思路

宿主机上执行top指令,是从/proc/stats 目录下获取数据,所以容器不挂载宿主机的该目录即可。lxcfs可实现该功能,它将宿主机的/var/lib/lxcfs/proc/meminfo文件挂载到Docker容器的/proc/meminfo 位置后,容器中进程读取相应文件内容后,lxcfs的fuse实现会从容器对应的Cgroups中读取正确的内存限制,从而使应用获取正确的资源约束。

lxcfs安装

# yum install offline
[ceph@k8s-master lxcfs-4.0.7] sudo yum install -y --downloadonly --downloaddir=/data/tzj/rpm fuse fuse-lib fuse-devel
[ceph@k8s-master lxcfs-4.0.7] sudo yum localinstall /data/tzj/rpm/*.rpm

# make
[ceph@k8s-master lxcfs-4.0.7] cd docker/lxcfs-4.0.7/
[ceph@k8s-master lxcfs-4.0.7] ./configure
[ceph@k8s-master lxcfs-4.0.7] make
[ceph@k8s-master lxcfs-4.0.7] sudo make install

# test
[ceph@k8s-master lxcfs-4.0.7]$ lxcfs -v
4.0.7

隔离测试

[ceph@k8s-master docker] sudo mkdir -p /var/lib/lxcfs
[ceph@k8s-master docker] sudo lxcfs /var/lib/lxcfs
sudo: lxcfs: command not found
# bash -c error too,use root users
[root@k8s-master docker]# lxcfs /var/lib/lxcfs
Running constructor lxcfs_init to reload liblxcfs
mount namespace: 4
hierarchies:
  0: fd:   5: name=systemd
  1: fd:   6: perf_event
  2: fd:   7: memory
  3: fd:   8: cpu,cpuacct
  4: fd:   9: hugetlb
  5: fd:  10: blkio
  6: fd:  11: net_cls,net_prio
  7: fd:  12: cpuset
  8: fd:  13: pids
  9: fd:  14: freezer
 10: fd:  15: devices
Kernel supports swap accounting
api_extensions:
- cgroups
- sys_cpu_online
- proc_cpuinfo
- proc_diskstats
- proc_loadavg
- proc_meminfo
- proc_stat
- proc_swaps
- proc_uptime
- shared_pidns
- cpuview_daemon
- loadavg_daemon
- pidfds

再次运行docker容器

docker run -it centos /bin/bash

通过lxcfs运行

docker run -it -m 256m --memory-swap 256m \
      -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
      -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
      -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
      -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
      -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
      -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
      centos /bin/bash

执行top命令,成功获取到正确的资源限制

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
linux technology
8 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
关注天翼云
  • 天翼云微信公众号
  • APP
    天翼云APP
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2024 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号