是 Linux 内核提供的一种机制,用来“控制、限制、隔离、统计”进程对系统资源的使用。)
1. cgroup 是什么?它是做什么的?
cgroup(Control Group)是 Linux 内核提供的一种机制,用来“控制、限制、隔离、统计”进程对系统资源的使用。
它的作用可以理解成——给一组进程设置一个“资源沙箱”。
来自多个权威技术资料指出:
- cgroup 能限制、统计并隔离一组进程对CPU、内存、I/O、网络等资源的使用
- 是 Linux 系统实现容器(如 LXC/Docker)资源约束与隔离的关键基础
- cgroup 不仅能限制资源,还能让系统管理员根据优先级优化资源调度,提高系统整体稳定性和性能
2. CGroup 的诞生
2006 年,Google 工程师在开源社区发起了一个用来管理和限制进程资源使用的项目,名为“process containers”,2007 年,Linux 内核团队将其改名为 cgroup 纳入到 Linux 内核 feature 项目中。在 2008 年 1 月发布的 Linux 2.6.24,这一功能被合并到了内核中。到 Linux 4.5 版本内核,CGroup v2 被合并到内核,这是一次在使用方式上的重大更新。
CGroup 一般也被称为“cgroups”,是 control groups 的简称。
CGroup 机制的功能就是对 linux 的一组进程进行包括 CPU、内存、磁盘 IO、网络等在内的资源使用进行限制、管理和隔离。
3. CGroup 的主要功能
CGroup 的主要功能有:
- 限制资源的使用,如划定内存等资源的使用上限,对文件系统的缓存进行限制等;
- 优先级控制,如让进程以低优先级被 CPU 调度等;
- 审计和统计,
- 某组消耗了多少 CPU 时间
- 内存峰值是多少
例如
cpuacct子系统能统计 CPU 使用报告
- 挂起进程和恢复进程执行。
4. cgroups 子系统
CGroup 对进程组资源的限制是通过子系统来实现的,这样做的好处是可以便于新的功能的增加。目前已有的子系统有:
- cpu 子系统:主要限制进程的 cpu 使用率。
- cpuacct 子系统:可以统计 cgroups 中的进程的 cpu 使用报告。
- cpuset 子系统:可以为 cgroups 中的进程分配单独的 cpu 节点或者内存节点。
- memory 子系统:可以限制进程的 memory 使用量。
- blkio 子系统:可以限制进程的块设备 io。
- devices 子系统:可以控制进程能够访问某些设备。
- net_cls 子系统:可以标记 cgroups 中进程的网络数据包,然后可以使用 tc 模块(traffic control)对数据包进行控制。
- net_prio 子系统:这个子系统用来设计网络流量的优先级
- freezer 子系统:可以挂起或者恢复 cgroups 中的进程。
- ns 子系统:可以使不同 cgroups 下面的进程使用不同的 namespace
- hugetlb 子系统:这个子系统主要针对于HugeTLB系统进行限制,这是一个大页文件系统。
🧩cgroup v1 vs v2
很关键,因为实际系统行为依赖版本:
| 项目 | cgroup v1 | cgroup v2 |
|---|---|---|
| 控制器结构 | 多层级、各自独立 | 统一单层级 |
| 配置复杂度 | 高 | 更简洁统一 |
| 应用场景 | 旧系统/兼容性 | 新系统(Android 新版本 & 主流 Linux) |
文档指出:
- v2 统一了层级结构,提高一致性和可维护性
- Android、容器和现代发行版正在逐步向 v2 迁移,但仍保留 v1 以兼容某些控制器(如 cpuset)
🧪一句话总结
cgroup = Linux 给进程分配资源的“管家”和“警戒线”。 它让系统可以限制、隔离、统计并优化资源使用,是容器和现代系统资源管理的核心。
