Linux系统资源限制精细化管控：通过cgroups对进程组的内存、CPU与磁盘I/O进行隔离与配额

一、啥是系统资源限制精细化管控

在 Linux 系统里，咱们经常会碰到好多进程一起运行的情况。想象一下，这就像一个热闹的集市，每个进程都在争着用系统的资源，像内存、CPU 还有磁盘 I/O 这些。要是不管控一下，有些进程可能就会把资源都占了，其他进程就没资源可用了，这系统就容易出问题。所以啊，咱们得对系统资源进行精细化管控，让每个进程组都能合理地使用资源。

比如说，有个服务器上同时运行着好几个服务，像 Web 服务、数据库服务等。要是不进行资源限制，某个服务可能因为出现 bug 或者受到攻击，疯狂占用资源，导致其他服务没法正常运行。这时候，就需要对这些进程组的资源进行隔离和配额设置，保证每个服务都能稳定运行。

二、cgroups 是个啥

cgroups 全称是 Control Groups，它就像是 Linux 系统里的一个资源管理员。它能把进程分组，然后对每个组的资源使用情况进行管理和控制。通过 cgroups，咱们可以给不同的进程组分配不同的内存、CPU 和磁盘 I/O 配额，让它们互不干扰。

举个例子，假如咱们有一个 Web 服务器，上面运行着多个网站。咱们可以用 cgroups 把每个网站的进程划分到不同的组里，然后给每个组设置不同的资源配额。这样，即使某个网站因为流量突然增大，也不会影响其他网站的正常运行。

三、对内存进行隔离与配额

1. 操作步骤

首先，咱们要创建一个 cgroup 目录，用来管理内存资源。在终端里输入以下命令：

# 技术栈：Shell
# 创建一个名为 memory_group 的 cgroup 目录
sudo mkdir /sys/fs/cgroup/memory/memory_group

这个命令的作用就是在 /sys/fs/cgroup/memory 目录下创建一个名为 memory_group 的子目录，这个目录就是咱们用来管理内存资源的 cgroup。

然后，咱们要设置这个 cgroup 的内存配额。继续在终端输入：

# 技术栈：Shell
# 设置 memory_group 的内存配额为 512MB
echo 512M | sudo tee /sys/fs/cgroup/memory/memory_group/memory.limit_in_bytes

这里的 echo 512M 就是把 512MB 这个值输出，然后通过 tee 命令把这个值写入到 memory.limit_in_bytes 文件里。这个文件就是用来设置内存配额的。

接下来，咱们要把进程添加到这个 cgroup 里。假设咱们有一个进程的 PID 是 1234，输入以下命令：

# 技术栈：Shell
# 把 PID 为 1234 的进程添加到 memory_group 中
echo 1234 | sudo tee /sys/fs/cgroup/memory/memory_group/cgroup.procs

这样，这个进程就被添加到 memory_group 中了，它的内存使用就会受到咱们设置的 512MB 配额的限制。

2. 示例分析

假如有一个程序，它需要大量的内存来运行。在没有使用 cgroups 进行内存限制的时候，它可能会把系统的内存都占满，导致其他程序无法正常运行。但是，当咱们使用 cgroups 给它设置了内存配额后，它就只能使用咱们规定的内存量。如果它试图使用超过配额的内存，系统就会对它进行限制，保证其他程序的正常运行。

四、对 CPU 进行隔离与配额

1. 操作步骤

同样地，咱们先创建一个 cgroup 目录来管理 CPU 资源：

# 技术栈：Shell
# 创建一个名为 cpu_group 的 cgroup 目录
sudo mkdir /sys/fs/cgroup/cpu/cpu_group

然后，设置 CPU 配额。这里我们使用 cpu.cfs_quota_us 和 cpu.cfs_period_us 这两个文件来设置。cpu.cfs_period_us 表示一个时间周期，cpu.cfs_quota_us 表示在这个周期内允许使用的 CPU 时间。

# 技术栈：Shell
# 设置一个时间周期为 100000 微秒
echo 100000 | sudo tee /sys/fs/cgroup/cpu/cpu_group/cpu.cfs_period_us
# 设置在这个周期内允许使用的 CPU 时间为 50000 微秒
echo 50000 | sudo tee /sys/fs/cgroup/cpu/cpu_group/cpu.cfs_quota_us

这里的设置意味着这个 cgroup 里的进程在 100000 微秒的时间周期内，最多只能使用 50000 微秒的 CPU 时间，也就是只能使用 50% 的 CPU 资源。

最后，把进程添加到这个 cgroup 里。假设进程 PID 是 5678，输入：

# 技术栈：Shell
# 把 PID 为 5678 的进程添加到 cpu_group 中
echo 5678 | sudo tee /sys/fs/cgroup/cpu/cpu_group/cgroup.procs

2. 示例分析

比如说，有一个 CPU 密集型的程序，它会一直占用 CPU 资源。在没有使用 cgroups 进行 CPU 限制的时候，它会让系统变得很卡顿，影响其他程序的运行。但是，当咱们使用 cgroups 给它设置了 CPU 配额后，它就只能使用规定的 CPU 资源，不会再把系统拖垮。

五、对磁盘 I/O 进行隔离与配额

1. 操作步骤

创建一个 cgroup 目录来管理磁盘 I/O 资源：

# 技术栈：Shell
# 创建一个名为 io_group 的 cgroup 目录
sudo mkdir /sys/fs/cgroup/blkio/io_group

设置磁盘 I/O 配额。这里我们使用 blkio.throttle.read_bps_device 和 blkio.throttle.write_bps_device 这两个文件来设置读写带宽。假设磁盘设备是 /dev/sda，设备号是 8:0，我们可以这样设置：

# 技术栈：Shell
# 设置读带宽限制为 10MB/s
echo "8:0 10485760" | sudo tee /sys/fs/cgroup/blkio/io_group/blkio.throttle.read_bps_device
# 设置写带宽限制为 5MB/s
echo "8:0 5242880" | sudo tee /sys/fs/cgroup/blkio/io_group/blkio.throttle.write_bps_device

这里的 8:0 表示磁盘设备 /dev/sda，10485760 是 10MB 的字节数，5242880 是 5MB 的字节数。

把进程添加到这个 cgroup 里。假设进程 PID 是 9012，输入：

# 技术栈：Shell
# 把 PID 为 9012 的进程添加到 io_group 中
echo 9012 | sudo tee /sys/fs/cgroup/blkio/io_group/cgroup.procs

2. 示例分析

假如有一个程序需要大量的磁盘读写操作，在没有使用 cgroups 进行磁盘 I/O 限制的时候，它可能会把磁盘带宽占满，导致其他程序无法正常进行磁盘读写。但是，当咱们使用 cgroups 给它设置了磁盘 I/O 配额后，它就只能使用规定的磁盘带宽，保证其他程序也能正常进行磁盘读写。

六、应用场景

1. 多租户环境

在云服务提供商的多租户环境中，不同的租户可能会使用同一个服务器。为了保证每个租户的资源使用不会影响其他租户，就可以使用 cgroups 对每个租户的进程组进行资源隔离和配额设置。比如说，每个租户的 Web 服务、数据库服务等都可以划分到不同的 cgroup 里，设置不同的内存、CPU 和磁盘 I/O 配额。

2. 容器化环境

在 Docker 等容器化环境中，每个容器都是一个独立的进程组。使用 cgroups 可以对每个容器的资源使用进行精确控制，保证容器之间不会相互影响。例如，一个容器运行着一个高并发的 Web 应用，另一个容器运行着一个数据处理任务，通过 cgroups 可以给它们分配不同的资源，让它们都能稳定运行。

七、技术优缺点

1. 优点

• 资源隔离：cgroups 可以把不同的进程组隔离开来，让它们互不干扰，保证系统的稳定性。就像在一个大房间里，用隔板把不同的区域隔开，每个区域的活动都不会影响到其他区域。
• 配额控制：可以精确地设置每个进程组的资源配额，避免某个进程组过度占用资源。比如，给每个进程组分配一定的内存、CPU 和磁盘 I/O 资源，让它们在规定的范围内运行。
• 灵活性：可以根据不同的需求，随时调整进程组的资源配额。例如，当某个进程组的业务量增加时，可以增加它的资源配额；当业务量减少时，可以减少资源配额。

2. 缺点

• 配置复杂：cgroups 的配置需要对系统有一定的了解，涉及到很多文件和参数的设置。对于初学者来说，可能会觉得比较困难。
• 性能开销：使用 cgroups 会带来一定的性能开销，因为系统需要对每个进程组的资源使用进行监控和管理。

八、注意事项

1. 权限问题

在使用 cgroups 进行资源管理时，很多操作都需要 root 权限。所以，在执行相关命令时，要确保以 root 用户或者使用 sudo 来执行。

2. 资源设置合理性

在设置资源配额时，要根据实际情况进行合理设置。如果设置得太小，可能会导致进程无法正常运行；如果设置得太大，就失去了资源限制的意义。

3. 监控与调整

要定期监控进程组的资源使用情况，根据实际情况及时调整资源配额。例如，如果某个进程组的资源使用一直很低，可以适当减少它的配额；如果资源使用接近配额，可以适当增加配额。

九、文章总结

通过 cgroups 对进程组的内存、CPU 和磁盘 I/O 进行隔离与配额是 Linux 系统资源限制精细化管控的重要手段。它可以帮助我们更好地管理系统资源，保证系统的稳定性和性能。在实际应用中，我们可以根据不同的场景，合理地使用 cgroups 进行资源管理。虽然 cgroups 有一些配置复杂和性能开销的问题，但只要我们注意相关的注意事项，就能充分发挥它的优势。