Центр знаний DevOps
Центр знаний DevOps

Исчерпывающее руководство по Systemd Cgroups для ограничения и изоляции ресурсов

Освойте управление ресурсами Linux с помощью systemd и cgroups. В этом руководстве объясняется, как использовать срезы (slices), области (scopes) и службы (services) systemd для применения точных ограничений на CPU, память и операции ввода-вывода (I/O). Узнайте, как изолировать критически важные процессы, предотвращать исчерпание ресурсов и обеспечивать стабильность системы с помощью практических примеров и лучших практик для эффективной оптимизации производительности.

31 просмотров

Полное руководство по cgroups Systemd для ограничения и изоляции ресурсов

Systemd, современная система инициализации и менеджер системных и сервисных служб для Linux, предлагает мощные инструменты для управления системными ресурсами. Одной из его наиболее значимых возможностей является интеграция с Control Groups (cgroups) — функцией ядра Linux, которая позволяет ограничивать, учитывать и изолировать использование ресурсов (ЦП, память, дисковый ввод-вывод, сеть и т.д.) для группы процессов. Это руководство подробно рассмотрит, как systemd использует cgroups через свои типы юнитов — срезы (slices), области (scopes) и сервисы (services) — для обеспечения точного ограничения и изоляции ресурсов, гарантируя, что критически важные процессы получают необходимые ресурсы, и предотвращая негативное влияние вышедших из-под контроля приложений на стабильность системы.

Понимание и эффективное использование интеграции cgroups в systemd имеет решающее значение для системных администраторов, разработчиков и всех, кто отвечает за поддержание производительности и надежности систем Linux. Установив соответствующие ограничения ресурсов, вы сможете предотвратить исчерпание ресурсов, повысить предсказуемость производительности приложений и улучшить общую стабильность системы. Это руководство предложит практический подход к настройке этих ограничений, делая сложное управление ресурсами доступным и эффективным.

Понимание Control Groups (cgroups)

Прежде чем углубляться в реализацию systemd, важно понять фундаментальные концепции cgroups. Cgroups — это иерархический механизм в ядре Linux, который позволяет группировать процессы, а затем назначать этим группам политики управления ресурсами. Эти политики могут включать:

  • ЦП: Ограничение времени ЦП, приоритизация доступа к ЦП.
  • Память: Установка лимитов использования памяти, предотвращение условий нехватки памяти (OOM).
  • Ввод-вывод: Регулирование операций чтения/записи на диск.
  • Сеть: Ограничение пропускной способности сети.
  • Доступ к устройствам: Контроль доступа к определенным устройствам.

Ядро предоставляет конфигурации cgroup через виртуальную файловую систему, обычно монтируемую по адресу /sys/fs/cgroup. Каждый контроллер (например, cpu, memory) имеет свой собственный каталог, и внутри них иерархии каталогов представляют группы и связанные с ними ограничения ресурсов.

Архитектура управления cgroup в Systemd

Systemd абстрагирует сложность прямого манипулирования cgroup, предоставляя структурированную систему управления юнитами. Он организует процессы в иерархию юнитов, которые затем отображаются на иерархии cgroup. Основные типы юнитов, относящиеся к управлению ресурсами:

  • Срезы (Slices): Это абстрактные контейнеры для юнитов сервисов. Срезы образуют иерархию, позволяя делегировать ресурсы. Например, срез для пользовательских сеансов может содержать срезы для отдельных приложений. Systemd автоматически создает срезы для системных сервисов, пользовательских сеансов и виртуальных машин/контейнеров.
  • Области (Scopes): Обычно используются для временных или динамически создаваемых групп процессов, часто связанных с пользовательскими сеансами или системными сервисами, которые не управляются как полноценные юниты сервисов. Они являются временными и существуют до тех пор, пока запущены процессы внутри них.
  • Сервисы (Services): Это основные юниты для управления демонами и приложениями. Когда юнит сервиса запускается, systemd помещает его процессы в иерархию cgroup, обычно внутри среза. Ограничения ресурсов могут быть применены непосредственно к юнитам сервисов.

Иерархия systemd по умолчанию часто выглядит следующим образом:

-.slice (Root slice)
  |- system.slice
  |  |- <service_name>.service
  |  |- another-service.service
  |  ... 
  |- user.slice
  |  |- user-1000.slice
  |  |  |- session-c1.scope
  |  |  |  |- <application>.service (if started by user)
  |  |  |  ...
  |  |  ...
  |  ... 
  |- machine.slice (for VMs/containers)
  ...

Применение ограничений ресурсов с помощью файлов юнитов Systemd

Systemd позволяет указывать ограничения ресурсов cgroup непосредственно в файлах юнитов .service, .slice или .scope. Эти директивы размещаются в секциях [Service], [Slice] или [Scope] соответственно.

Ограничения ЦП

Основные директивы для управления ресурсами ЦП:

  • CPUQuota=: Ограничивает общее время ЦП, которое может использовать юнит. Указывается в процентах (например, 50% для половины ядра ЦП) или в виде доли ядра ЦП (например, 0.5). Также можно указать значение в микросекундах за период. Период по умолчанию составляет 100 мс.
  • CPUShares=: Устанавливает относительный вес для времени ЦП. Юнит с CPUShares=2048 получит вдвое больше времени ЦП, чем юнит с CPUShares=1024 при наличии конкуренции.
  • CPUWeight=: Псевдоним для CPUShares=, но с другим диапазоном (1-10000, по умолчанию 100).
  • CPUQuotaPeriodSec=: Устанавливает период для CPUQuota. По умолчанию 100ms.

Пример: Ограничение веб-сервера до 75% одного ядра ЦП:

Создайте или отредактируйте файл сервиса, например, /etc/systemd/system/mywebapp.service:

[Unit]
Description=My Web Application

[Service]
ExecStart=/usr/bin/mywebapp
User=webappuser
Group=webappgroup

# Limit to 75% of one CPU core
CPUQuota=75%

[Install]
WantedBy=multi-user.target

После создания или изменения файла сервиса перезагрузите демон systemd и перезапустите сервис:

sudo systemctl daemon-reload
sudo systemctl restart mywebapp.service

Ограничения памяти

Ограничения памяти контролируются такими директивами, как:

  • MemoryLimit=: Устанавливает жесткий лимит на объем оперативной памяти, который могут потреблять процессы юнита. Может быть указан в байтах или с суффиксами, такими как K, M, G, T (например, 512M).
  • MemoryMax=: Аналогичен MemoryLimit, но часто считается более современным и гибким в своем взаимодействии с учетом памяти. Обычно рекомендуется использовать его вместо MemoryLimit.
  • MemoryHigh=: Устанавливает мягкий лимит. При приближении к этому лимиту более агрессивно запускается освобождение памяти (свопинг), но жесткий лимит еще не принуждается.
  • MemorySwapMax=: Ограничивает объем пространства подкачки, которое может использовать юнит.

Пример: Ограничение базы данных до 2 ГБ ОЗУ:

Создайте или отредактируйте файл сервиса, например, /etc/systemd/system/mydb.service:

[Unit]
Description=My Database Service

[Service]
ExecStart=/usr/bin/mydb
User=dbuser
Group=dbgroup

# Limit memory to 2 Gigabytes
MemoryMax=2G

[Install]
WantedBy=multi-user.target

Перезагрузить и перезапустить:

sudo systemctl daemon-reload
sudo systemctl restart mydb.service

Ограничения ввода-вывода

Регулирование ввода-вывода можно контролировать с помощью таких директив, как:

  • IOWeight=: Устанавливает относительный вес для операций ввода-вывода. Более высокие значения дают больший приоритет ввода-вывода. Диапазон от 1 до 1000 (по умолчанию 500).
  • IOReadBandwidthMax=: Ограничивает пропускную способность чтения ввода-вывода. Указывается как [<устройство>] <байт_в_секунду>. Например, IOReadBandwidthMax=/dev/sda 100M ограничивает операции чтения на /dev/sda до 100 МБ/с.
  • IOWriteBandwidthMax=: Ограничивает пропускную способность записи ввода-вывода. Формат аналогичен IOReadBandwidthMax.

Пример: Ограничение фонового сервиса обработки до 50 МБ/с на определенном диске:

Создайте или отредактируйте файл сервиса, например, /etc/systemd/system/batchproc.service:

[Unit]
Description=Batch Processing Service

[Service]
ExecStart=/usr/bin/batchproc
User=batchuser
Group=batchgroup

# Limit write operations to 50MB/s on /dev/sdb
IOWriteBandwidthMax=/dev/sdb 50M

# Give it a moderate read priority
IOWeight=200

[Install]
WantedBy=multi-user.target

Перезагрузить и перезапустить:

sudo systemctl daemon-reload
sudo systemctl restart batchproc.service

Управление и мониторинг Cgroups

Systemd предоставляет инструменты для проверки и управления cgroup, связанными с вашими юнитами.

Проверка состояния Cgroup

Команда systemctl status предоставляет информацию о принадлежности юнита к cgroup и использовании ресурсов.

systemctl status mywebapp.service

Ищите строки, указывающие путь cgroup. Например:

● mywebapp.service - My Web Application
     Loaded: loaded (/etc/systemd/system/mywebapp.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2023-10-27 10:00:00 UTC; 1 day ago
       Docs: man:mywebapp(8)
   Main PID: 12345 (mywebapp)
      Tasks: 5 (limit: 4915)
     Memory: 15.5M
        CPU: 2h 30m 15s
      CGroup: /system.slice/mywebapp.service
              └─12345 /usr/bin/mywebapp

Вы также можете напрямую проверить файловую систему cgroup:

systemd-cgls # Отображает иерархию cgroup, управляемую systemd
systemd-cgtop # Аналогично top, но для cgroups

Чтобы увидеть конкретные ограничения, примененные к cgroup сервиса:

# Для ограничений памяти
catsysfs /sys/fs/cgroup/memory/system.slice/mywebapp.service/memory.max

# Для ограничений ЦП
catsysfs /sys/fs/cgroup/cpu/system.slice/mywebapp.service/cpu.max

(Примечание: Точные пути и имена файлов могут немного отличаться в зависимости от версии cgroup и конфигурации системы.)

Изменение лимитов Cgroup на лету

Хотя лучшей практикой является установка лимитов в файлах юнитов, вы можете временно изменить их с помощью systemctl set-property:

sudo systemctl set-property mywebapp.service CPUQuota=50%

Эти изменения не сохраняются после перезагрузки. Чтобы сделать их постоянными, обновите файл юнита и перезагрузите демон systemd.

Срезы для делегирования ресурсов

Срезы являются мощным инструментом для управления группами сервисов или приложений. Вы можете определить ограничения ресурсов для среза, и все сервисы или области внутри этого среза будут наследовать или быть ограничены этими лимитами.

Пример: Создание выделенного среза для ресурсоемких пакетных заданий:

Создайте файл среза, например, /etc/systemd/system/batch.slice:

[Unit]
Description=Batch Processing Slice

[Slice]
# Ограничить общее ЦП для всех заданий в этом срезе 1 ядром
CPUQuota=100%
# Ограничить общий объем памяти до 4 ГБ
MemoryMax=4G

Теперь вы можете настроить сервисы для работы в этом срезе, используя директиву Slice= в их файлах .service:

[Unit]
Description=Specific Batch Job

[Service]
ExecStart=/usr/bin/mybatchjob

# Поместить этот сервис в batch.slice
Slice=batch.slice

[Install]
WantedBy=multi-user.target

Перезагрузите systemd, активируйте/запустите срез при необходимости (хотя он часто активируется неявно) и запустите сервис.

sudo systemctl daemon-reload
sudo systemctl start mybatchjob.service

Такой подход позволяет группировать связанные процессы и управлять их совокупным потреблением ресурсов.

Лучшие практики и рекомендации

  • Начинайте с постепенных лимитов: При установке лимитов начинайте с консервативных значений и постепенно увеличивайте их по мере необходимости. Агрессивные лимиты могут дестабилизировать приложения.
  • Мониторинг: Регулярно отслеживайте использование ресурсов вашей системы и влияние настроек cgroup. Такие инструменты, как systemd-cgtop, htop, top и iotop, бесценны.
  • Понимание Cgroup v1 против v2: Systemd поддерживает как cgroup v1, так и v2. Хотя многие директивы схожи, v2 предлагает унифицированную иерархию и некоторые поведенческие различия. Убедитесь, что вы знаете, какую версию использует ваша система, если столкнетесь со сложными проблемами.
  • Приоритизация против жестких лимитов: Используйте CPUShares/CPUWeight для приоритизации, когда ресурсы ограничены, и CPUQuota для строгих жестких лимитов. Аналогично, MemoryHigh предназначен для мягких лимитов, а MemoryMax — для жестких.
  • Сервис против Среза: Используйте юниты сервисов для отдельных приложений и срезы для управления группами связанных приложений или пулами ресурсов.
  • Документация: Четко документируйте ограничения ресурсов, применяемые к критически важным сервисам, особенно в производственных средах.
  • OOM Killer: Имейте в виду, что если процесс превышает лимит MemoryMax, Out-Of-Memory (OOM) killer ядра может завершить его, даже если он находится внутри cgroup. Systemd может управлять поведением OOM killer для определенных cgroup с помощью таких директив, как OOMPolicy=.

Заключение

Интеграция Systemd с cgroups предоставляет надежный и удобный механизм для контроля и изоляции системных ресурсов. Освоив использование юнитов сервисов, областей и срезов, администраторы могут эффективно применять ограничения ЦП, памяти и ввода-вывода для обеспечения стабильности системы, предсказуемой производительности и предотвращения исчерпания ресурсов. Внедрение этих элементов управления является фундаментальным аспектом современного администрирования систем Linux, обеспечивая больший контроль над средами приложений и базовой инфраструктурой.