Gerenciamento de recursos com cgroups | REDES

Gerenciamento de recursos com cgroups

Esteja no

REDES
comando
O novo cgroups oferece uma abordagem administrativa
para a restrio do uso de recursos. uma ferramenta
muito importante para uso em sistemas virtualizados.
por Ralf Spenneberg

H
alguns anos atrs, dei aulas
de Linux em um fornecedor
de servios de tecnologia de
larga escala. Os administradores da
empresa tinham muita experincia
com variantes comerciais do Unix,
como HP-UX, e me perguntaram
como poderiam implementar ge-
renciamento de recursos e controles
no Linux. Como um administrador
poderia restringir a suada quantidade
de memria RAM disponvel para um
nico processo ou grupo de processos?
Preciso admitir que naquele tem-
po o Linux no oferecia esse recurso.
Mas em 2006, Rohit Seth iniciou o
desenvolvimento desse recurso, de
forma que administradores do kernel
2.6.24 pudessem us-lo. Originalmente
chamado de process containers control
groups (cgroups para abreviar) [1], a
ferramenta pode restringir, enumerar
(para propsitos de cobrana) e isolar
recursos (como memria RAM, CPU
e entrada e sada de dados I/O).
Embora muitos administradores
no precisem usar esse recurso em
um servidor padro, o cgroups
muito interessante em ambientes
baseados em KVM, pois permite que
voc restrinja os recursos usados por
um cliente virtual ou d preferncia
para que algumas mquinas utilizem
determinados recursos. O cgroups
permite que o administrador defina
esses parmetros para subsistemas es-
pecficos para esses processos e todos
os seus processos-filhos. Um subsis-
tema poderia ser um controlador de
recursos que gerencie a quantidade
de memria RAM disponvel.
Para usar o cgroups, primeiro
necessrio definir uma hierar-
quia na qual os grupos sero geren-
ciados. Para tanto, edite o arquivo
/etc/cgconfig.conf, cujo exemplo
pode ser observado na listagem 1.
Se esse arquivo no existir, ins-
talar o pacote @cgroup. O aplicativo
cria uma hierarquia separada para
cada subsistema e ento possvel
definir seu cgroups em seguida. A
hierarquia /cgroup/cpu permite que
voc administre compartilhamento
de CPU enquanto /cgroup/net_cls
cuida do desempenho da entrada e
sada (E/S) de dados da rede.
Ao iniciar o daemon cgconfig, criam-
-se os diretrios e monta-se o sistema de
arquivos cgroups. O lssybsys permite
que voc verifique se a hierarquia foi
criada corretamente (listagem 2). Voc
pode ento criar seu grupo de controle
com o comando cgcreate:
cgcreate -g blkio:/dd
O comando na listagem 3 diz quais
parmetros esto disponveis para o
subsistema Block I/O.
O kernel 2.6.36 tambm supor-
ta as opes blkio.throttle.*. Isso
significa que voc pode restringir o
mximo de largura de banda de E/S
para operaes de leitura e escrita
por um grupo de processo.
Para testar isso, voc precisa dos
nmeros mximos e mnimos do dis-
positivo no qual esto sendo aplicadas
as restries. Se for /dev/sda1, voc
pode verificar os valores mnimo e
mximo com um simples ls:
# ls -l /dev/sda1
brw-rw-. 1 root disk 8, 1 10.
Oct 08:32 /dev/sda1
Aqui, veja que esses nmeros so 8
e 1. Para restringir a largura de banda
do grupo de controle para 1 mbps,
execute o comando cg-set ou sim-
plesmente use o comando:

Linux Magazine #92 | Julho de 2012 69

 REDES | Gerenciamento de recursos com cgroups
echo "8:1 1048576" >
/cgroup/blkio/dd/blkio.
throttle.write_bps_device
E ento use o comando dd para
um teste:
dd if=/dev/zero of=/tmp/test
& pid=$!
Inicialmente, execute o processo
dd na raiz do cgroup, que no tem
restries. Voc pode fazer um tes-
te usando um SIGUSR1 no processo:
# kill -USR1 $pid
578804+0 records in
578804+0 records out
296347648 bytes (296 MB)
copied, 7.00803 s, 42.3 MB/s
Para migrar esse processo para o
cgroup dd, use o comando echo:
# echo $pid >
/cgroups/blkio/dd/tasks
Agora, quando enviar um sinal
USR1 para o dd, voc ver que a largura
de banda cai drasticamente porque
o processo no tem a permisso de
escrever com uma banda maior do
que 1 mbps. Em vez de restringir a
largura de banda mxima, possvel
priorizar a largura de banda entre gru-
pos com o uso do parmetro blkio.
weight=. O valor padro 500, ento,
caso voc d a um grupo o valor de
1000, ele teria o dobro de largura de
banda para acesso aos dispositivos do
bloco em relao aos outros grupos.
Em vez de usar o comando echo,
voc poderia atribuir processos para
grupos usando o comando cgclassify.
Alm disso, tamb possvel utilizar
o comando cgexec desta forma:
Listagem 1: /etc/cgconfig.conf
01 mount {
02 cpuset = /cgroup/cpuset;
03 cpu = /cgroup/cpu;
04 cpuacct = /cgroup/cpuacct;
05 memory = /cgroup/memory;
06 devices = /cgroup/devices;
07 freezer = /cgroup/freezer;
08 net_cls = /cgroup/net_cls;
09 ns = /cgroup/ns;
10 blkio = /cgroup/blkio;
11 }
70
cgexec -g blkio:dd "dd
if=/dev/zero of=/tmp/test"
caso voc queira iniciar um processo
diretamente em um grupo especfico.
Automao
Atribuir processos a grupos manu-
almente pode ser cansativo, alm
de ser passvel de erros. Faz muito
mais sentido deixar essa tarefa para
o daemon cgrulesengd, que o faz de
forma automtica. Para permitir que
isso acontea, o servio precisa ter
o arquivo /etc/cgrules.cong, que diz
a ele qual processo pertence a qual
usurio e deve ser atribudo a qual
grupo de controle. O arquivo tem
uma sintaxe bem simples:
<usuario>[:<processo>]
<controladores> <destino>
Usando o exemplo com o co-
mando dd, a regra se pareceria com
a linha abaixo:
*:dd blkio /dd
O comando acima adiciona os
processos dd pertencentes a todos
os usurios do grupo de controle
/dd no controlador de recursos blkio.
Hierarquias
At agora, passamos apenas por grupos
de controle individuais e isolados. No
entanto, possvel criar hierarquias de
grupos e adicionar mais estruturas es-
pecficas. Para ser mais preciso, voc
pode criar cgroups adicionais dentro de
um grupo de controle, como se faz no
comando cgreate -g blkio:/dd/user1.
Listagem 2: lssubsys
01 # lssubsys -am
02 cpuset /cgroup/cpuset
03 cpu /cgroup/cpu
04 cpuacct /cgroup/cpuacct
05 memory /cgroup/memory
06 devices /cgroup/devices
07 freezer /cgroup/freezer
08 net_cls /cgroup/net_cls
09 ns /cgroup/ns
10 blkio /cgroup/blkio
O novo cgroups ser exibido
como subdiretrio e herdar as pro-
priedades do grupo de controle-pai.
Todos os cgroups-filhos ento com-
petem pelos recursos atribudos para
o cgroups-pai.
Se o cgroup-pai tiver permisso
de escrever apenas a 1Mbps, todos
os grupos-filhos no podero exce-
der esse valor.
Embora os recursos sejam atri-
budos de forma hierrquica, essas
hierarquias no funcionam para o
controlador blkio. Todos os outros
controladores so compatveis com
essa hierarquia.
Virtualizao
Onde faz sentido implementar o
cgroups? Alguns aplicativos especiais
se beneficiaro do cgroups no traba-
lho dirio, mas, na maioria dos casos,
faz mais sentido deixar que o kernel
Linux gerencie sozinho esses recur-
sos em vez de estabelecer limites. No
entanto, se voc implementa uma
soluo de virtualizao como KVM,
na qual pode virtualizar diversos hs-
pedes em um nico host, a utilidade
de restringir, priorizar e medir o uso
dos recursos pode ser muito til. O
cgroups oferece uma abordagem
ideal para implementar isso.
Voc precisar gerenciar a virtu-
alizao por meio das bibliotecas
Libvirt e contineres LXS, ou usar o
QEMU/KVM. O daemon libvirtd
cria um cgroup separado com o nome
do cliente para cada servidor que for
iniciado. O grupo existe na hierarquia
de libvirtd/qemu|lxc/guest para cada
Listagem 3: Subsistema
Block I/O
01 # cgget -g blkio /dd
02 /dd:
03 blkio.reset_stats=
04 blkio.io_queued=Total 0
05 blkio.io_merged=Total 0
06 blkio.io_wait_time=Total 0
07 blkio.io_service_time=Total 0
08 blkio.io_serviced=Total 0
09 blkio.io_service_bytes=Total 0
10 ...
www.linuxmagazine.com.br

controlador. A partir disso, ser poss-
vel gerenciar e priorizar os recursos
individualmente para cada cliente.
Para permitir que o cliente use
o dobro de tempo de CPU, voc
precisar modificar o controlador
da CPU (cpu.shares). Para atingir
seu objetivo, mude somente o valor
padro de 1024 para 2048. Voc pode
usar uma abordagem similar para a
configurao de RAM ou largura de
banda. Para tanto, use o controlador
de memria ou o controlador net_cls
em combinao com o comando tc.
Perceba que voc precisaria da va-
riante mais recente do Libvirt para
suportar o controlador net_cls. Esse
controlador diferente de todos os
outros controladores porque confi-
gura somente uma classID e ento
espera que o administrador gerencie
a largura de banda com o comando
tc (quadro 1).
Note que no possvel utilizar o
controlador blkio com a Libvirt atu-
almente, pois ele no suporta as hie-
rarquias que o Libvirtd precisa criar.
Os desenvolvedores do kernel j esto
trabalhando em uma soluo [2].
Mais informaes
[1] Cgroups: http://
www.kernel.org/doc/
Documentation/cgroups/
[2] Hierarquias para Blkio: http://
lwn.net/Articles/413015/
O autor
Ralf Spenneberg instrutor free-
lancer de Unix/Linux, consultor, au-
tor e CEO de sua prpria empresa
de treinamento. Ralf publicou diver-
sos livros sobre deteco de invaso,
SELinux, firewall e VPNs. A segun-
da edio de seu ltimo livro, VPN on
Linux, foi publicada recentemente.
Gostou do artigo?
go?
Queremos ouvir sua opinio.
pinio.
Fale conosco em
cartas@linuxmagazine.com.br
zine.com.
Este artigo no nosso
so site:
sit
http://lnm.com.br/article/7145
articl 145
Linux Magazine #92 | Julho de 2012
Gerenciamento de recursos com cgroups | REDES
Se quiser cobrar pelo tempo usado O comando cgexec facilita essa
por cada cliente individualmente, use tarefa; inicia o processo no cgroup e
o controlador CPUAcct. Ele conta o tem- quaisquer processos-filhos e threads
po de CPU realmente usado por cada podem herdar as caractersticas
cliente em nanossegundos em e arma- do grupo.
zena esses valores no arquivo /cgroup/
cpuacct/libvirt/qemu/guest/cpuacct. Concluso
Infelizmente, somente as mais re-
Processos centes distribuies Linux suportam
O recorte que fizemos da imple- cgroups. Recursos individuais esto
mentao do cgroup funciona com disponveis somente nos kernels
base em threads (tarefas enfileiradas mais recentes. Em outras palavras,
para execuo). Cada thread em um os administradores precisam conferir
processo pode ser gerenciada em quais propriedades podem usar na
um cgroup separado, sendo que isso distribuio que esto utilizando.
precisa ser lembrado na hora da atri- Mas aps fazer isso, o cgroups ofe-
buio dos processos para o cgroups rece inmeros recursos poderosos,
com o comando echo aps inici-los. principalmente para ambientes
Voc precisa atribuir todas as threads virtualizados, controle de proces-
em execuo (/proc/pid/task/) para sos e gerenciamento de recursos
o cgroups correspondente. de clientes.
Quadro 1: Gerenciamento de banda
Se um processo monitorado pelo controlador net_cls, possvel atribuir
uma classID para todos os processos no cgroup. Voc pode ento usar o tc
com o grupo. Inicie ao definir a classID para o cgroup:
echo 0x00100001 > /cgroup/net_cls/libvirt/qemu/guest/net_cls.classid
Esse nmero hexadecimal possui dois blocos: 0xAAAABBBB, no qual os dgitos
AAAA definem os maiores nmeros da classID e os dgitos BBBB definem os me-
nores nmeros. No h necessidade de preencher com zeros. Para usar a clas-
sID, necessrio instalar um agendador de tarefas baseado em classe (qdisc)
na placa de rede por onde saem os dados (como, por exemplo, eth0). O agen-
dador (scheduler) do qdisc decide quando enviar um pacote. Agendadores ba-
seados em classe permitem que voc coloque pacotes em classes diferentes,
priorizando e restringindo essas classes posteriormente. Um agendador qdisc
clssico para a restrio de trfego de rede o filtro Hierarchical Token Bucket
(HTB), que precisa ser instalado na placa de rede. Para isso, delete quaisquer
verses de qdisc j existentes e execute o HTB, com o comando:
tc qdisc del dev eth0 root 2>/dev/null
tc qdisc add dev etho root handle 10: htb default 2
O prximo passo criar as classes:
tc class add dev eth0 parent 10: classid 10:1 htb rate 10mbit
tc class add dev eth0 parent 10: classid 10:2 htb rate 20mbit ceil 100mbit
Essas duas linhas criam duas classes diferentes, sendo que a primeira tem
uma largura de banda mxima de 10Mbps. A segunda classe pode usar mais
de 20Mbps, mas no mais de 100 Mbps, se nenhuma outra classe precisar
de banda larga. A opo default2, ao criar o filtro HTB, rejeita trfego no
classificado para a segunda classe.
Para avaliar a classID para o cgroup net_cls, voc precisa definir outro filtro:
tc filter add dev eth0 parent 10: protocol ip prio 10 handle 1: cgroup
De agora em diante, a classID net_cls automaticamente usada pelo kernel
para alocar pacotes para classes HTB. O cliente Libvirt pode agora usar uma
velocidade mxima de transmisso de 10Mbps.
71