17370845950

cgroups通过限制、记录和隔离进程组资源实现容器化应用的资源控制。首先确认系统支持cgroups v1或v2并检查挂载情况；推荐使用cgroups v2，其统一层级结构更简洁。创建控制组如myapp后，可通过写入memory.max限制内存（如200MB），写入cpu.max限制CPU（如50%配额）；将进程PID写入cgroup.procs使其受控。实际中Docker和Kubernetes自动管理cgroups：Docker通过--memory和--cpus参数设置，K8s在Pod配置中定义resources.limits。直接操作适用于调试，生产环境建议使用高级工具间接管理，理解底层机制有助于排查资源问题。

Linux内核的cgroups（Control Groups）机制可以用来限制、记录和隔离进程组的资源使用，比如CPU、内存、磁盘I/O等。容器化技术如Docker和Kubernetes底层正是依赖cgroups来实现资源控制。以下是使用cgroups直接限制容器化应用资源的方法和关键配置说明。

启用并检查cgroups支持

现代Linux发行版默认启用cgroups，但需确认系统支持cgroups v1或v2，并确保挂载正确。

检查是否启用：

• 运行mount | grep cgroup查看cgroups挂载情况
• 查看/sys/fs/cgroup/目录是否存在且包含子系统如cpu、memory等

注意：推荐使用cgroups v2（统一层级），若系统使用v1，各子系统独立管理。

通过cgroups v2限制内存和CPU

cgroups v2采用统一层级结构，配置更简洁。以下以创建一个名为myapp的控制组为例。

1. 创建控制组

• sudo mkdir /sys/fs/cgroup/myapp

2. 限制内存使用（例如最多200MB）

• echo 200000000 > /sys/fs/cgroup/myapp/memory.max

当进程尝试使用超过此值的内存时，会被OOM killer终止。 3. 限制CPU使用（例如最多50%的单个CPU）

• echo 50000 > /sys/fs/cgroup/myapp/cpu.max

格式为“配额 周期”，此处50000/100000表示每100ms最多使用50ms CPU时间。 4. 将进程加入控制组

• 启动容器或应用后，将其PID写入cgroup.procs文件：
  echo $PID > /sys/fs/cgroup/myapp/cgroup.procs

在容器运行时中自动应用cgroups策略

实际使用中，通常不手动操作cgroups，而是通过容器引擎声明资源限制。

Docker示例：

• docker run -d --name web --memory=200m --cpus=0.5 nginx

Docker会自动创建对应cgroups并设置限制。 Kubernetes示例（Pod配置）：

resources:
  limits:
    memory: "200Mi"
    cpu: "500m"

Kubelet通过CRI调用容器运行时，最终由cgroups实施限制。

基本上就这些。直接操作cgroups适合调试或嵌入式场景，生产环境建议使用Docker或K8s等工具间接管理。关键是理解其背后机制，才能更好排查资源超限问题。