子???系???统???(subsystem) 所谓子系统可以理解为操作系统里的各种资源(组件),如CPU,内存,磁盘,网卡(带宽) 层???级(Hierarchies) 所谓层级就是子系统的集合,又为挂载点(mount point),一个或多子系统附件到一个层级下,又可看着某个cgroup树的根c ...
分类:
其他好文 时间:
2019-05-26 00:07:08
阅读次数:
165
为了更好地理解容器的特性,本节我们将讨论容器的底层实现技术。cgroup 和 namespace 是最重要的两种技术。cgroup 实现资源限额, namespace 实现资源隔离。 cgroup cgroup 全称 Control Group。Linux 操作系统通过 cgroup 可以设置进程使 ...
分类:
其他好文 时间:
2019-05-23 21:04:30
阅读次数:
122
cpu.cfs_period_us specifies a period of time in microseconds (µs, represented here as "us") for how regularly a cgroup's access to CPU resources shoul ...
分类:
其他好文 时间:
2019-05-23 20:50:11
阅读次数:
107
什么是Docker 镜像 容器 仓库 为什么用Docker 与虚拟机的区别 怎么用Docker 架构 安装及使用 Docker,超轻量级虚拟机,它可以让你轻松完成持续集成、自动交付、自动部署,并且实现开发环境、测试环境、运维环境三方环境的真正同步 参考内容: https://zhuanlan.zhi ...
分类:
其他好文 时间:
2019-05-20 13:19:55
阅读次数:
141
cgroup子系统net_cls 可以给 packet 打上 classid 的标签,用于过滤分类,这个classid就是用于标记skb所属的 qdisc class 的。有了这个标签,流量控制器(tc)可以对不同的 cgroup 的 packet 起作用,Netfilter(iptables)也可 ...
分类:
其他好文 时间:
2019-05-05 15:52:43
阅读次数:
220
配置管理和YAML 配置管理 所谓的配置管理,也称为状态管理,就是可以通过编写文件,文件的内容为安装什么功能、开启什么服务,执行什么任务等信息,然后通过salt的配置管理,指定minion来执行这些操作。其中定义这些状态配置,所用到的文件都是一种.sls格式的文件,文件编写是通过YAML来进行的,s ...
分类:
其他好文 时间:
2019-04-13 22:07:43
阅读次数:
165
Namespaces 命名空间,是linux内核提供的一种对进程资源隔离的机制,比如网络,进程,挂载点等 CGroup 对资源进行限制,防止cpu或内存用的过多等 ls -l /sys/fs/cgroup/ 虚拟机与docker区别 虚拟机是在硬件基础上通过hypervisor虚拟出硬件,比如虚拟出... ...
分类:
其他好文 时间:
2019-04-13 00:49:44
阅读次数:
169
在查看Docker安全性时,有四个主要方面需要考虑: 内核的内在安全性及其对命名空间和cgroup的支持; Docker守护进程本身的攻击面; 容器配置配置文件中的漏洞,默认情况下或用户自定义时。 内核的“强化”安全功能以及它们如何与容器交互。 ...
分类:
其他好文 时间:
2019-03-25 00:53:12
阅读次数:
154
功能说明lsof 全名为list open files,也就是列举系统中已经被打开的文件,通过lsof命令,就可以根据文件找到对应的进程信息,也可以根据进程信息找到进程打开的文件。【语法格式】lsof [option]lsof [选项]参数选项 解释说明-c 显示指定的进程名所打开的文件-p 显示指... ...
分类:
系统相关 时间:
2019-03-24 17:29:03
阅读次数:
279
