docker - kubernetes pod 中的容器是否属于同一 cgroup？-6ren

docker - kubernetes pod 中的容器是否属于同一 cgroup？

转载作者：行者123 更新时间：2023-12-02 11:30:00

在多容器 Kubernetes pod 中，容器是同一个 cgroup(连同 pod)的一部分还是为每个容器创建一个单独的 cgroup。

最佳答案

群组
pod 中的容器共享 cgroup 层次结构的一部分，但每个容器都有自己的 cgroup。我们可以试试这个并验证我们自己。

启动一个多容器 pod。

# cat mc2.yaml
apiVersion: v1
kind: Pod
metadata:
  name: two-containers
spec:
  restartPolicy: Never
  containers:
  - name: container1
    image: ubuntu
    command: [ "/bin/bash", "-c", "--" ]
    args: [ "while true; do sleep 30; done;" ]

  - name: container2
    image: ubuntu
    command: [ "/bin/bash", "-c", "--" ]
    args: [ "while true; do sleep 30; done;" ]

# kubectl apply -f mc2.yaml
pod/two-containers created

找到宿主机上的进程cgroups

# ps -ax | grep while | grep -v grep
19653 ?        Ss     0:00 /bin/bash -c -- while true; do sleep 30; done;
19768 ?        Ss     0:00 /bin/bash -c -- while true; do sleep 30; done;

# cat /proc/19653/cgroup
12:hugetlb:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
11:memory:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
10:perf_event:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
9:freezer:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
8:cpuset:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
7:net_cls,net_prio:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
6:cpu,cpuacct:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
5:blkio:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
4:pids:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
3:devices:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
2:rdma:/
1:name=systemd:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
0::/

# cat /proc/19768/cgroup
12:hugetlb:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
11:memory:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
10:perf_event:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
9:freezer:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
8:cpuset:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
7:net_cls,net_prio:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
6:cpu,cpuacct:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
5:blkio:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
4:pids:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
3:devices:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
2:rdma:/
1:name=systemd:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/e10fa18a63cc26de27f3f79f46631cd814efa3ef7c2f5ace4b84cf5abce89765
0::/

如您所见，Pod 中的容器共享 cgroup 层次结构，直到 /kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011然后他们得到了自己的 cgroup。 ( These containers are under besteffort cgroup because we have not specified the resource requests )
Another clue that containers run in their own cgroup is that kubernetes allows you to set resource requests at the container level.
您还可以通过登录容器并查看/proc/self/cgroup 文件来找到容器的 cgroup。 (如果启用了 cgroup 命名空间，这在最新版本的 kubernetes 中可能不起作用)

# kubectl exec -it two-containers -c container2 bash
# root@two-containers:# cat /proc/self/cgroup
12:hugetlb:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
11:memory:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
10:perf_event:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
9:freezer:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
8:cpuset:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
7:net_cls,net_prio:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
6:cpu,cpuacct:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
5:blkio:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
4:pids:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
3:devices:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
2:rdma:/
1:name=systemd:/kubepods/besteffort/poda9c80282-3f6b-4d5b-84d5-a137a6668011/ed89697807a981b82f6245ac3a13be232c1e13435d52bc3f53060d61babe1997
0::/

命名空间
默认情况下，pod 中的容器也共享网络和 IPC 命名空间。

# cd /proc/19768/ns/
# /proc/19768/ns# ls -lrt
total 0
lrwxrwxrwx 1 root root 0 Jul  4 01:41 uts -> uts:[4026536153]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 pid_for_children -> pid:[4026536154]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 pid -> pid:[4026536154]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 net -> net:[4026536052]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 mnt -> mnt:[4026536152]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 ipc -> ipc:[4026536049]
lrwxrwxrwx 1 root root 0 Jul  4 01:41 cgroup -> cgroup:[4026531835]

# cd /proc/19653/ns
# /proc/19653/ns# ls -lrt
total 0
lrwxrwxrwx 1 root root 0 Jul  4 01:42 uts -> uts:[4026536150]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 pid_for_children -> pid:[4026536151]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 pid -> pid:[4026536151]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 net -> net:[4026536052]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 mnt -> mnt:[4026536149]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 ipc -> ipc:[4026536049]
lrwxrwxrwx 1 root root 0 Jul  4 01:42 cgroup -> cgroup:[4026531835]

如您所见，容器共享网络和 IPC 命名空间。您还可以使用 shareProcessNamespace 使容器共享 pid 命名空间pod 规范中的字段。
https://kubernetes.io/docs/tasks/configure-pod-container/share-process-namespace

cgroup:[4026531835] is same for both the containers. Is this(cgroup namespace) different from the cgroups they (containers) are part of.

cgroups 限制了一个进程(或一组进程)可以使用的资源(cpu、内存等)。
命名空间隔离并限制进程(或一组进程)对系统资源(如网络、进程树等)的可见性。有不同的命名空间组，如网络、IPC 等。其中一个命名空间是 cgroup 命名空间。使用 cgroup 命名空间，您可以限制一个进程(或一组进程)中其他 cgroup 的可见性
cgroup 命名空间虚拟化进程的 cgroups 的 View 。目前，如果您尝试 cat /proc/self/cgroup从容器内，您将能够看到从全局 cgroup 根开始的完整 cgroup 层次结构。这可以使用 cgroup 命名空间来避免，可以从 kubernetes v1.19 获得。 . Docker also supports this from version 20.03 .在创建容器时使用 cgroup 命名空间时，您会看到 cgroup 根目录为 /在容器内部，而不是看到全局 cgroups 层次结构。
https://man7.org/linux/man-pages/man7/cgroup_namespaces.7.html

关于docker - kubernetes pod 中的容器是否属于同一 cgroup？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62716970/

文章推荐： kubernetes - 如何使用 oc 客户端从 configmap 中提取特定值

文章推荐： docker - 如何通过 kubernetes pod 传递 docker run 参数

文章推荐： kubernetes - 如何在Kubernetes中增加PODS

kubernetes - kubernetes中的 "Pods"和 "Static Pods"有什么区别，何时选择常规 pod 上的 "static pods"？
kubernetes的新手，希望了解使用不同kubernetes对象的最佳实践，并且很难理解“Pods”和“Static Pods”在功能上的主要区别(如果有)吗？主要问题如下: 问题1:如果有功能
ios - Pod 未在 Pods 文件中列出，但它安装在 pod install 命令上
以下是 pods 文件的截图，其中不包含 AFNetworking 库。当我在终端中运行命令 pod install 时，它安装了 AFNetworking 库版本 3.0.1。我无法理解为什么会这样
ios - 'pod init' 为 'pod lib create ...' 创建了 pod？
在通过 pod lib create projectName 创建的目录中执行 pod init 是否受支持？它似乎对我不起作用，但否则如何指定他们正在创建的 pod 的上游依赖项？ pod inst
html - 在使用 Pod::Simple::HTML 之前使用 Pod::Weaver 预处理 POD
我正在尝试制作一个 Pod::Simple::HTML 的简单子(monad)类用于 Pod::Simple::HTMLBatch .我希望使用 POD::Weaver 对所有 POD 进行预处理.但
c++ - POD 类中的嵌套枚举是否使其不是 POD？
根据定义here , POD 是一个简单的类，没有用户定义的构造函数、非静态成员，并且只包含简单的数据类型。问题是，下面这两个类是否等同于 POD 类型(就内存占用而言): class pod {
版本\"v1\"中的 KubernetesPodOperator Pod 不能作为 Pod : v1. Pod.Spec 处理
使用 Airflow 在 AWS EKS 上运行 KubernetesPodOperator 获取 kubernetes.client.rest.ApiException: (400)，指出版本\"v
networking - 当 pod 通过目标 pod 在同一主机上的服务与 pod 通信时，kubernetes 是否使用两次 conntrack？
据我了解，当 POD 与服务对话时，IP 表已由 CNI 提供商更新(这可能特定于某些但不是所有 CNI 提供商)。 iptables 基本上提供了一个虚拟 IP，然后循环或分发(以某种方式)到后端临
kubernetes - 从具有不同模式的多个 pod 访问 kubernetes 存储 - 一个 pod ReadWrite，其他 pod ReadOnly
我有一个 pod 需要将数据持久保存到 pod 外部的位置。我认为persistentVolume 是一个好主意。名为 writerPod 的 pod 需要对该卷进行读写访问。多个其他 Pod(我称
kubernetes - HPA(Horizontal pod autoscaling)是否考虑了多个容器(在一个 Pod 中)的 CPU 利用率的平均值来扩展 Pod？
我想知道，如果 HPA 考虑一个 pod 中多个容器的 CPU 利用率的平均值，以便向上/向下扩展数量。 pod 。例如，如果我为具有 2 个容器的部署(pod)指定如下所示的 HPA。为了让 HPA
docker - GKE - 在运行时绕过 Pod LoadBalancer(Pod 的外部 IP)到 Pod 的容器 IP 以用于 WebSocket 目的
我有以下情况: 我有几个微服务，现在只有两个是相关的。 - Web 套接字服务 API - 调度服务我们有 3 个用户，我们将分别称为 1、2 和 3。这些用户将自己连接到我们后端的 Web 套接字
kubernetes - Kubectl pods vs pods
我已经注意到，当使用kubectl时，您几乎可以互换使用 pod 和 pods 。是否有任何实例可以使用一个实例而不是另一个实例来获得不同的结果，或者您可以只使用其中一个而不用担心呢？例如: kub
cocoapods:pod 更新和 pod 安装需要永远
我尝试使用命令 pod update 更新我的 podfile但它需要永远。我也按照这个问题做了所有的步骤 cocoapods - 'pod install' takes forever但什么都没有
kubernetes-pod - 如何重新启动处于挂起状态的 kubernetes-pod？
我正在设置一个 Kubernetes 主节点。只是主节点，暂时没有工作节点。使用 this tutorial. 完成设置，没有任何问题现在， $kubectl get pods -o wide -
cocoa - 如何更新除一个 Pod 之外的所有 Pod
是否可以在 pod install 期间让一个 Pod 保持不变和pod update ？ pod update 不是一个选项。最佳答案您实际上可以使用pod update [NAMES...]来
kubernetes - 从 pod 连接到其他 pod
基本上，我有一个部署，它创建了 3 个自动扩展的容器:PHP-FPM、NGINX 和包含应用程序的容器，所有这些都设置了 secret 、服务和入口。该应用程序还在 PHP-FPM 和 NGINX 之
kubernetes - 等待运河 pods ，然后在新节点上安排 pods
在为Kubernetes创建/添加节点时，我们还必须创建Canal pod。当前，kubernetes在尝试调度Pod之前不会等待Canal Pod准备就绪，从而导致失败(错误如下) Error s
kubernetes - 如何在不删除 Pod 的情况下从服务中移除 Pod
我正在寻找一个选项来从部署/复制中删除 pod 而不删除它。我找到了一个很好的解决方案 using selector and labels here ，但在我的情况下这是不可能的，因为我不是 pod/
kubernetes - Pod 删除和 Pod 驱逐有什么区别？
来自 PodInterface两个操作Delete和 Evict似乎具有相同的效果:删除旧 Pod 并创建一个新 Pod。如果两个操作效果一样，为什么删除一个Pod并创建一个新的Pod需要两个API
kubernetes - kubectl排空是先移除 pods 还是先创建 pods
Kubernetes版本1.12.3。 kubectl排水是先移开 pods 还是先创建 pods 。最佳答案您可以在节点上执行维护(例如内核升级，硬件维护等)之前，使用kubectlrain安全
kubernetes - 如何从同一命名空间的其他 pod 中通过其主机名访问 pod？
有没有办法通过主机名访问 pod？我有一个主机名:my-pod-1需要使用主机名连接到另一个 pod:my-pod-2 . 在没有服务的情况下实现这一目标的最佳方法是什么？最佳答案通过您的描述，

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

docker - kubernetes pod 中的容器是否属于同一 cgroup？