点击上方蓝色“方志朋”，选择“设为星标”

回复“666”获取独家整理的学习资料！

很多接触Docker的同学，都接触过cgroup这个名词。它是Linux上的一项古老的技术，用来实现资源限制，比如CPU、内存等。但有很多同学反映，这项技术有点晦涩，不太好懂。

这就是本篇文章存在的目的，会让你以最简单直观的方式，了解cgroups到底是个什么东西。

cgroups，是实现docker功能的重要底层设施。如上图，使用cgroups，能够把操作系统的各项资源变成池子，然后通过配置获取相应的资源。

那它是怎么实现的呢？

要注意cgroups这个名词，它有两个特性。首先是c，就是Control的意思，是个动词；第二部分，就是groups，证明它是个组。

1. 动词的目标

control，用来限制什么呢？除了CPU、内存，还有啥？

使用mount命令，查看当前系统支持的限制目标，它有个专用的名词，叫做子系统。

# mount  | grep cgroup
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpuacct,cpu)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_prio,net_cls)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)

不同的系统版本，会有一些细微的区别，大体上，子系统的分类包含下面这些：

• cpu,cpuacct  cpu主要限制进程的 cpu 使用率，cpuacct可以统计 cgroups 中的进程的 cpu 使用报告

• cpuset  可以为 cgroups 中的进程分配单独的 cpu 节点或者内存节点，就像Numa做的那些事情一样

• blkio 可以限制进程的块设备 io，比如物理设备（磁盘，固态硬盘，USB 等等）

• devices 控制进程能够访问某些设备

• net_cls 标记 cgroups 中进程的网络数据包，然后可以使用 tc 模块（traffic control）对数据包进行控制

• net_prio — 这个子系统用来设计网络流量的优先级

• freezer 可以挂起或者恢复 cgroups 中的进程。

• ns 可以使不同 cgroups 下面的进程使用不同的 namespace

• hugetlb 主要针对于HugeTLB系统进行限制，这是一个大页文件系统。

内容很多，但我们平常关注的大多数就是内存和CPU，这些繁杂的细节，不影响我们理解它的设计原则。

下面就以CPU为例，来看一下子系统的实际表现。

2. CPU使用限制的例子

首先，我们进入cpu子系统目录。

cd /sys/fs/cgroup/cpu

然后，创建一个组名为xjjdog的cgroups，这个名字，就叫做控制组。

mkdir xjjdog

这时候，神奇的事情发生了。我们使用ll命令，查看xjjdog目录中的内容，发现系统已经为我们默认生成了一堆文件。

# ll xjjdog/
total 0
-rw-r--r-- 1 root root 0 Jan 28 21:09 cgroup.clone_children
--w--w--w- 1 root root 0 Jan 28 21:09 cgroup.event_control
-rw-r--r-- 1 root root 0 Jan 28 21:09 cgroup.procs
-r--r--r-- 1 root root 0 Jan 28 21:09 cpuacct.stat
-rw-r--r-- 1 root root 0 Jan 28 21:09 cpuacct.usage
-r--r--r-- 1 root root 0 Jan 28 21:09 cpuacct.usage_percpu
-rw-r--r-- 1 root root 0 Jan 28 21:09 cpu.cfs_period_us
-rw-r--r-- 1 root root 0 Jan 28 21:09 cpu.cfs_quota_us
-rw-r--r-- 1 root root 0 Jan 28 21:09 cpu.rt_period_us
-rw-r--r-- 1 root root 0 Jan 28 21:09 cpu.rt_runtime_us
-rw-r--r-- 1 root root 0 Jan 28 21:09 cpu.shares
-r--r--r-- 1 root root 0 Jan 28 21:09 cpu.stat
-rw-r--r-- 1 root root 0 Jan 28 21:09 notify_on_release
-rw-r--r-- 1 root root 0 Jan 28 21:09 tasks

通过控制这些文件里面的数值，就可以对资源进行限制。比如cpu.cfs_quota_us文件，如果我们往里写入100000（十万），那么就证明使用了xjjdog的cgroup，最多能够使用1核的CPU。写入20000，证明最多使用使用1/5核的CPU。

这是因为，cpu.cfs_period_us这个配置文件，默认把1核cpu分成了10万份。

那我们就写入20000试一下。

sudo echo 20000 > xjjdog/cpu.cfs_quota_us

我们把当前shell的pid，加入被受控进程列表。

echo $$ > xjjdog/tasks

执行完毕之后，再启动一个死循环。

while true;do ;done;

重新打开一个shell，使用top观察CPU的使用率。可以发现，我们的死循环，最多只使用了20%的CPU。us保持在20%以下，且不间断的在各个cpu之间切换。

依次试验以下的命令，可以发现CPU的使用，会逐步增加，大体上和我们的限额是相等的。

sudo echo 40000 > xjjdog/cpu.cfs_quota_us
sudo echo 60000 > xjjdog/cpu.cfs_quota_us
sudo echo 100000 > xjjdog/cpu.cfs_quota_us

其他的资源限制，都是类似的思路。那么最重要的工作，就是需要知道cpu.cfs_quota_us这样的字眼，代表的是什么意思，这些对着手册来看是很容易掌握的。比如quota是配额的意思，很明显就是限制资源的使用。

如上图，子系统可以控制多个tasks，把它纳入到控制组之内。我们上篇文章讲到，可以将bash进程，作为docker系统的1号进程，那么同样的，这个1号进程的子进程，都会共享同样的限额配置。

3. group的意思

浅显的来讲，group就是指的对各种资源进行分组。不同名字的资源，有不同的隔离配置。但它有更多的特性。

比较重要的，是它的层级关系（hierarchy）。这个也比较好理解，它主要是为了简化配置而存在的。

比如我上面的xjjdog目录，对cpu的限制限制在0.5核。这时候，我想要有另外一个应用，对cpu的使用限制在0.5核，同时限制内存1gb，那么就可以直接在xjjdog目录下创建xjjdog0目录，在xjjdog0目录下只配置内存方面的就可以了。

另外，如果你在外层的cpu限额限制了2core，然后在继承的目录里限制了1/5核，那它就只能使用操作系统的2/5核。这也是继承的一个特性。

End

cgroups是2006年诞生的，发起人是Google 的工程师（Rohit Seth 和 Paul Menage ）。在 2008 年成功合入 Linux 2.6.24 版本中，可以说这项技术是很古老的。cgroups目前已经成为 systemd、Docker、Linux Containers（LXC） 等技术的基础。

像Windows平台的WSL，是没有cgroups功能的，使用mount命令可以验证，这证明了它是不能把docker跑起来的，因为缺乏基础。不过，WSL2已经可以了。

有些同学对docker目前的发展现状有些担心，但当你熟悉了这几个常见的底层原理，读完容器的标准之后，就会发现，上层的实现无论是换成docker也好，换成containerd也罢，都一样！

热门内容：

• 徒手撸了一个API网关，理解更透彻了，代码已上传github，自取~

• 写了个牛逼的日志切面，甩锅更方便了！

• 绝了！这款工具让SpringBoot不再需要Controller、Service、DAO、Mapper！

• 一个注解搞定 SpringBoot 接口防刷，还有谁不会？

最近面试BAT，整理一份面试资料《Java面试BAT通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。获取方式：点“在看”，关注公众号并回复 666 领取，更多内容陆续奉上。
明天见(｡･ω･｡)ﾉ♡