Cgroup v2 深入

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1967 字

6 分钟

Cgroup v2 深入

2026-04-11

容器运行时

容器

/

CPU

/

存储

/

底层原理

当你执行 docker run --memory=512m --cpus=2 nginx 时，Docker 是怎么限制容器只能使用 512MB 内存和 2 个 CPU 的？答案是 Cgroup——Linux 内核的**控制组（Control Group）**机制。Cgroup 让你将进程分组，并对每个组施加资源限制、优先级分配和审计统计。

Cgroup 经历了从 v1 到 v2 的重大架构演进。Cgroup v1 的每个控制器有独立的层级树，导致进程可能属于不同控制器的不同 cgroup，管理混乱。Cgroup v2 采用统一层级设计——所有控制器共享同一棵 cgroup 树，一个进程只能属于一个 cgroup，所有控制器对同一组进程生效。

Cgroup 的历史可以追溯到 2007 年，Google 工程师 Paul Menage 和 Rohit Seth 向 Linux 内核提交了”Process Containers”补丁，后更名为 Control Groups（Cgroup）。Cgroup v1 的设计允许每个控制器（cpu、memory、blkio 等）拥有独立的层级树，进程可以同时属于不同控制器的不同 cgroup——这看似灵活，实则带来了管理混乱：一个进程在 cpu cgroup 中属于 /A，在 memory cgroup 中却属于 /B，运维人员难以追踪进程的资源归属。2016 年，内核开发者 Tejun Heo 主导了 Cgroup v2 的重构，采用统一层级设计——所有控制器共享同一棵 cgroup 树，一个进程只能属于一个 cgroup。这一”看似更不灵活”的设计，反而解决了 v1 的核心痛点。理解从 v1 到 v2 的演进动机，是理解 Cgroup v2 设计哲学的关键——v2 的每一个”限制”，都是对 v1 实际运维问题的回应。

前置知识#

Ch02 Linux Namespace 深入：Namespace 提供”视图隔离”，Cgroup 提供”资源限制”——两者是容器隔离的互补机制，理解它们的区别至关重要
Linux 文件系统操作：Cgroup v2 通过 /sys/fs/cgroup/ 文件系统暴露接口，所有操作都是文件读写
Linux 进程管理基础：进程树、信号、资源统计

Note

Cgroup 和 Namespace 经常被混淆：Namespace 决定进程”能看到什么”，Cgroup 决定进程”能用多少”。

本章将深入 Cgroup v2 的架构设计、三大核心控制器（CPU/内存/IO）的实现原理，以及容器运行时如何使用 Cgroup。

一、Cgroup v2 架构#

1.1 从 Cgroup v1 到 v2#

graph TB subgraph CgroupV1["Cgroup v1：多层级"] V1CPU["cpu 控制器 /sys/fs/cgroup/cpu/"] V1MEM["memory 控制器 /sys/fs/cgroup/memory/"] V1BLK["blkio 控制器 /sys/fs/cgroup/blkio/"] V1PID["pids 控制器 /sys/fs/cgroup/pids/"] end subgraph CgroupV2["Cgroup v2：统一层级"] V2ROOT["/sys/fs/cgroup/ 统一 cgroup 树"] V2CPU["cpu.max + cpu.weight"] V2MEM["memory.max + memory.min"] V2IO["io.max + io.weight"] V2PID["pids.max"] end V1CPU -.->|"问题：进程可属于 不同层级的不同 cgroup"| V2ROOT V1MEM -.-> V2ROOT V1BLK -.-> V2ROOT V1PID -.-> V2ROOT V2ROOT --> V2CPU V2ROOT --> V2MEM V2ROOT --> V2IO V2ROOT --> V2PID style CgroupV1 fill:#ffcdd2,stroke:#c62828 style CgroupV2 fill:#c8e6c9,stroke:#2e7d32

1.2 Cgroup v1 vs v2 对比#

维度	Cgroup v1	Cgroup v2
层级结构	每个控制器独立层级	统一层级
进程归属	可属于不同控制器的不同 cgroup	只能属于一个 cgroup
控制器挂载	各自挂载到 /sys/fs/cgroup/控制器名	统一挂载到 /sys/fs/cgroup/
内存控制器	memory + memsw	memory（含 swap）
IO 控制器	blkio	io（基于 cgroup 写回）
压力通知	无	PSI（Pressure Stall Information）
eBPF 扩展	有限	完整支持
内核版本	2.6.24+	4.5+（推荐 5.4+）

1.3 Cgroup v2 的核心文件#

1
# 查看 Cgroup v2 的根目录
2
ls /sys/fs/cgroup/
3

4
# 核心文件
5
cgroup.controllers        # 当前 cgroup 可用的控制器
6
cgroup.subtree_control    # 子 cgroup 启用的控制器
7
cgroup.procs              # 属于当前 cgroup 的进程 PID
8
cgroup.type               # cgroup 类型（domain/threaded）
9
cgroup.max.depth          # 最大嵌套深度
10
cgroup.max.descendants    # 最大后代数量
11
cgroup.stat               # 统计信息
12

13
# PSI（Pressure Stall Information）
14
cpu.pressure              # CPU 压力
15
memory.pressure           # 内存压力
16
io.pressure               # IO 压力

二、CPU 控制器#

2.1 cpu.max：硬限制#

cpu.max 设置 CPU 时间的硬限制，格式为 quota period（微秒）：

1
# 限制容器最多使用 2 个 CPU 核心
2
# quota = 200000μs, period = 100000μs
3
echo "200000 100000" > /sys/fs/cgroup/docker/container1/cpu.max
4

5
# 查看当前设置
6
cat /sys/fs/cgroup/docker/container1/cpu.max
7
# 200000 100000
8

9
# 不限制（默认）
10
echo "max 100000" > /sys/fs/cgroup/docker/container1/cpu.max

CPU 配额计算公式：

1
可用 CPU 核数 = quota / period
2
例如：200000 / 100000 = 2 核

2.2 cpu.weight：软限制（权重）#

cpu.weight 设置 CPU 时间的权重分配（1-10000，默认 100）：

1
# 设置权重为 200（相对于默认 100，获得 2 倍 CPU 时间）
2
echo "200" > /sys/fs/cgroup/docker/container1/cpu.weight
3

4
# 两个容器的 CPU 时间分配比例
5
# container1 (weight=200) : container2 (weight=100) = 2:1

2.3 cpu.max vs cpu.weight#

特性	cpu.max	cpu.weight
类型	硬限制	软限制（权重）
超限行为	进程被限流（throttled）	按权重分配空闲 CPU
适用场景	严格限制 CPU 使用	相对优先级分配
Docker 参数	`--cpus=2`	`--cpu-shares=2048`
空闲 CPU	不可使用空闲 CPU	可以使用空闲 CPU

2.4 CPU 限流机制#

sequenceDiagram participant App as 容器进程 participant CFS as CFS 调度器 participant Cgroup as Cgroup CPU 控制器 Note over App,Cgroup: 一个调度周期（period = 100ms） App->>CFS: 请求 CPU 时间 CFS->>Cgroup: 检查剩余 quota Cgroup-->>CFS: quota 剩余 50ms App->>CFS: 继续执行 CFS->>Cgroup: 检查剩余 quota Cgroup-->>CFS: quota 用完！ Note over App: 进程被限流（throttled） 等待下一个周期 Note over App,Cgroup: 下一个周期开始 Cgroup->>CFS: quota 重置为 200ms App->>CFS: 恢复执行

2.5 cpuset：CPU 亲和性#

1
# 限制容器只能使用 CPU 0 和 CPU 2
2
echo "0,2" > /sys/fs/cgroup/docker/container1/cpuset.cpus
3

4
# 限制 NUMA 节点
5
echo "0" > /sys/fs/cgroup/docker/container1/cpuset.mems
6

7
# Docker 等价参数
8
docker run --cpuset-cpus=0,2 nginx

三、内存控制器#

3.1 memory.max：内存硬限制#

1
# 限制容器最多使用 512MB 内存
2
echo "536870912" > /sys/fs/cgroup/docker/container1/memory.max  # 512 * 1024 * 1024
3

4
# 查看当前内存使用
5
cat /sys/fs/cgroup/docker/container1/memory.current
6
# 134217728 (128MB)
7

8
# 查看内存限制
9
cat /sys/fs/cgroup/docker/container1/memory.max
10
# 536870912
11

12
# 不限制
13
echo "max" > /sys/fs/cgroup/docker/container1/memory.max

3.2 memory.min / memory.low：内存保护#

Cgroup v2 引入了内存保护机制，防止重要容器的内存被 OOM 回收：

文件	含义	OOM 行为
`memory.min`	最小内存保证（硬保护）	低于此值绝不回收
`memory.low`	最佳内存保证（软保护）	低于此值尽量不回收
`memory.max`	最大内存限制	超过此值触发 OOM

1
# 设置内存保护
2
echo "134217728" > memory.min   # 保证至少 128MB
3
echo "268435456" > memory.low   # 尽量保留 256MB
4
echo "536870912" > memory.max   # 最多使用 512MB

3.3 Swap 控制#

1
# Cgroup v2 的 swap 控制
2
# memory.swap.max = 最大 swap 使用量
3
echo "268435456" > memory.swap.max  # 最多 256MB swap
4

5
# 查看当前 swap 使用
6
cat memory.swap.current
7

8
# 禁用 swap（Docker 默认）
9
echo "0" > memory.swap.max
10

11
# Docker 等价参数
12
docker run --memory=512m --memory-swap=1g nginx

3.4 OOM 控制与处理#

1
# OOM 控制组
2
echo "1" > memory.oom.group   # 整个 cgroup 作为 OOM 受害者
3

4
# OOM 事件通知（通过 cgroup.events）
5
cat memory.events
6
# oom 5            # OOM 事件计数
7
# oom_kill 3       # OOM kill 计数
8
# oom_group_kill 2 # 组 OOM kill 计数
9

10
# 内存压力统计
11
cat memory.stat
12
# anon 134217728        # 匿名页
13
# file 67108864         # 文件缓存页
14
# slab 33554432         # Slab 缓存
15
# pgfault 12345         # 页错误
16
# pgmajfault 67         # 主要页错误

3.5 内存控制流程#

flowchart TB ALLOC["进程申请内存"] --> CHECK_MAX{memory.current > memory.max?} CHECK_MAX -->|否| ALLOC_OK["分配成功"] CHECK_MAX -->|是| RECLAIM["内核尝试回收内存"] RECLAIM --> RECLAIM_OK{回收成功？} RECLAIM_OK -->|是| ALLOC_OK RECLAIM_OK -->|否| CHECK_SWAP{swap 可用？} CHECK_SWAP -->|是| SWAP_OUT["换出到 swap"] CHECK_SWAP -->|否| OOM["触发 OOM Killer"] OOM --> KILL["杀死 cgroup 内的进程"] style ALLOC_OK fill:#c8e6c9,stroke:#2e7d32 style OOM fill:#ffcdd2,stroke:#c62828 style KILL fill:#ffcdd2,stroke:#c62828

四、IO 控制器#

4.1 io.max：IO 硬限制#

1
# 限制容器对 /dev/sda 的读写速率
2
# 格式：major:minor rbps wbps riops wiops
3
echo "8:0 rbps=104857600 wbps=52428800 riops=1000 wiops=500" > io.max
4

5
# 查看当前 IO 限制
6
cat io.max
7
# 8:0 rbps=104857600 wbps=52428800 riops=1000 wiops=500
8

9
# 查看当前 IO 统计
10
cat io.stat
11
# 8:0 rbytes=12345678 wbytes=87654321 rios=1234 wios=567 dbytes=0 dios=0

4.2 io.weight：IO 权重#

1
# 设置 IO 权重（1-10000，默认 100）
2
echo "200" > io.weight
3

4
# 按设备设置权重
5
echo "8:0 200" > io.weight

4.3 IO 控制器的工作原理#

Cgroup v2 的 IO 控制器基于比例-积分（PI）控制器实现限流：

每个 cgroup 维护一个 IO 预算（token bucket）
每次 IO 请求消耗预算
预算耗尽时，IO 请求被延迟（throttled）
下一个时间窗口预算恢复

1
# 查看 IO 限流统计
2
cat io.stat
3
# 8:0 rbytes=12345678 wbytes=87654321 rios=1234 wios=567
4
#     dbytes=0 dios=0
5
#     cost.wait=123456 cost.inflight=7890
6

7
# cost.wait: IO 限流导致的等待时间（纳秒）

五、PSI：压力失速信息#

5.1 PSI 原理#

PSI（Pressure Stall Information）是 Cgroup v2 的重要特性，它量化了资源竞争的严重程度：

1
# 查看 CPU 压力
2
cat /sys/fs/cgroup/docker/container1/cpu.pressure
3
# some avg10=0.00 avg60=0.10 avg300=0.05 total=1234567
4
# full avg10=0.00 avg60=0.00 avg300=0.00 total=0
5

6
# some: 至少一个任务等待资源
7
# full: 所有任务都在等待资源（更严重）
8
# avg10/60/300: 最近 10/60/300 秒的百分比

5.2 PSI 在容器中的应用#

1
# 监控容器的内存压力
2
watch -n 1 "cat /sys/fs/cgroup/docker/container1/memory.pressure"
3

4
# 基于 PSI 触发告警
5
# 当 avg10 > 50% 时，表示严重内存压力
6
# 可能需要增加内存限制或优化应用

PSI 指标	含义	告警阈值
some avg10 > 10%	部分任务等待	关注
some avg10 > 50%	严重竞争	告警
full avg10 > 0%	所有任务等待	严重告警

六、容器运行时与 Cgroup#

6.1 Docker 的 Cgroup 配置#

1
# Docker 的 Cgroup 参数映射
2
docker run \
3
  --memory=512m \          # memory.max = 536870912
4
  --memory-reservation=256m \ # memory.low = 268435456
5
  --memory-swap=1g \       # memory.swap.max = 536870912
6
  --cpus=2 \               # cpu.max = 200000 100000
7
  --cpu-shares=2048 \      # cpu.weight = 2048
8
  --cpuset-cpus=0,2 \      # cpuset.cpus = 0,2
9
  --pids-limit=100 \       # pids.max = 100
10
  --device-write-bps /dev/sda:50MB \ # io.max wbps
11
  nginx
12

13
# 查看容器的 Cgroup 路径
14
docker inspect mycontainer --format '{{.CgroupPath}}'

6.2 Kubernetes 的 Cgroup 配置#

1
# Kubernetes Pod 的资源限制
2
apiVersion: v1
3
kind: Pod
4
spec:
5
  containers:
6
  - name: nginx
7
    resources:
8
      requests:
9
        cpu: "1"          # cpu.weight 权重分配
10
        memory: "512Mi"   # memory.min 保证
11
      limits:
12
        cpu: "2"          # cpu.max 硬限制
13
        memory: "1Gi"     # memory.max 硬限制

6.3 containerd 的 Cgroup 管理#

1
// containerd 的 Cgroup 管理代码（简化）
2
package cgroups
3

4
import (
5
    "fmt"
6
    "os"
7
    "path/filepath"
8
)
9

10
type CgroupConfig struct {
11
    MemoryMax int64  // memory.max
12
    MemoryMin int64  // memory.min
13
    CPUMax    string // cpu.max (quota period)
14
    CPUWeight uint64 // cpu.weight
15
    PidsMax   int64  // pids.max
16
}
17

18
func ApplyCgroup(cgroupPath string, config *CgroupConfig) error {
19
    root := "/sys/fs/cgroup"
20

21
    // 创建 cgroup 目录
22
    path := filepath.Join(root, cgroupPath)
23
    if err := os.MkdirAll(path, 0755); err != nil {
24
        return err
25
    }
26

27
    // 设置 memory.max
28
    if config.MemoryMax > 0 {
29
        if err := os.WriteFile(
30
            filepath.Join(path, "memory.max"),
31
            []byte(fmt.Sprintf("%d", config.MemoryMax)),
32
            0644,
33
        ); err != nil {
34
            return err
35
        }
36
    }
37

38
    // 设置 cpu.max
39
    if config.CPUMax != "" {
40
        if err := os.WriteFile(
41
            filepath.Join(path, "cpu.max"),
42
            []byte(config.CPUMax),
43
            0644,
44
        ); err != nil {
45
            return err
46
        }
47
    }
48

49
    // 将进程加入 cgroup
50
    if err := os.WriteFile(
51
        filepath.Join(path, "cgroup.procs"),
52
        []byte(fmt.Sprintf("%d", os.Getpid())),
53
        0644,
54
    ); err != nil {
55
        return err
56
    }
57

58
    return nil
59
}

七、Cgroup 在容器运行时中的完整路径#

从 Docker CLI 到内核，Cgroup 配置经过多层转换：

flowchart LR subgraph 用户层["用户层"] CLI["docker run --memory=512m --cpus=2"] end subgraph Docker层["Docker 层"] SPEC["OCI Spec 生成 linux.resources.memory.limit = 536870912 linux.resources.cpu.quota = 200000 linux.resources.cpu.period = 100000"] end subgraph containerd层["containerd 层"] SHIM["shim → runc create 传递 Spec 给 runc init"] end subgraph runc层["runc 层"] CG_MGR["Cgroup Manager 读取 Spec → 写入 cgroup 文件"] end subgraph 内核层["内核层"] FS["cgroup 文件系统 /sys/fs/cgroup/docker/xxx/ memory.max, cpu.max, cgroup.procs"] end CLI --> SPEC --> SHIM --> CG_MGR --> FS style 用户层 fill:#bbdefb,stroke:#1565c0 style Docker层 fill:#c8e6c9,stroke:#2e7d32 style containerd层 fill:#fff3e0,stroke:#e65100 style runc层 fill:#e1bee7,stroke:#6a1b9a style 内核层 fill:#ffcdd2,stroke:#c62828

Warning

Cgroup 的内存限制包含页面缓存（file cache）。当容器读取大量文件时，页面缓存会占用 memory.current，可能触发限流或 OOM。如果应用需要大量文件 IO，考虑适当放宽内存限制或使用 memory.low 设置软保护。

八、eBPF 与 Cgroup#

8.1 Cgroup eBPF 程序#

Cgroup v2 支持附加 eBPF 程序，实现更灵活的控制逻辑：

1
// eBPF 程序：限制网络连接
2
// 附加到 cgroup 的 BPF_CGROUP_INET_SOCK_CREATE hook
3
SEC("cgroup/sock")
4
int restrict_sockets(struct bpf_sock *ctx) {
5
    // 只允许 TCP 和 UDP
6
    if (ctx->protocol != IPPROTO_TCP &&
7
        ctx->protocol != IPPROTO_UDP) {
8
        return 0; // 拒绝
9
    }
10
    return 1; // 允许
11
}

8.2 常用的 Cgroup eBPF Hook#

Hook	触发时机	用途
`cgroup/sock`	创建 socket	限制网络协议
`cgroup/connect`	发起连接	限制出站连接
`cgroup/sendmsg`	发送消息	限制目标地址
`cgroup/recvmsg`	接收消息	限制来源地址
`cgroup/post_bind`	bind 之后	限制监听端口
`cgroup/device`	设备访问	限制设备操作

九、动手实践#

9.1 手动创建 Cgroup 并限制进程#

1
#!/bin/bash
2
# 手动创建 Cgroup v2 并限制进程
3

4
# 1. 创建 cgroup
5
CGROUP_PATH="/sys/fs/cgroup/mycontainer"
6
sudo mkdir -p $CGROUP_PATH
7

8
# 2. 启用控制器
9
echo "+cpu +memory +io +pids" | sudo tee /sys/fs/cgroup/cgroup.subtree_control
10

11
# 3. 设置 CPU 限制（1 核）
12
echo "100000 100000" | sudo tee $CGROUP_PATH/cpu.max
13

14
# 4. 设置内存限制（256MB）
15
echo "268435456" | sudo tee $CGROUP_PATH/memory.max
16

17
# 5. 设置 PID 限制
18
echo "100" | sudo tee $CGROUP_PATH/pids.max
19

20
# 6. 启动进程并加入 cgroup
21
stress-ng --cpu 4 --timeout 60s &
22
PID=$!
23
echo $PID | sudo tee $CGROUP_PATH/cgroup.procs
24

25
# 7. 观察限流效果
26
watch -n 1 "cat $CGROUP_PATH/cpu.stat"
27
# nr_periods 10
28
# nr_throttled 8      ← 被限流 8 次
29
# throttled_usec 800000  ← 限流了 800ms
30

31
# 8. 清理
32
sudo rmdir $CGROUP_PATH

9.2 Cgroup 监控脚本#

1
#!/bin/bash
2
# 监控容器的 Cgroup 资源使用
3

4
CONTAINER=$1
5
CGROUP=$(docker inspect -f '{{.CgroupPath}}' $CONTAINER 2>/dev/null)
6

7
if [ -z "$CGROUP" ]; then
8
    echo "Container not found"
9
    exit 1
10
fi
11

12
CGROUP_FS="/sys/fs/cgroup${CGROUP}"
13

14
echo "=== CPU ==="
15
echo "Limit: $(cat $CGROUP_FS/cpu.max)"
16
echo "Usage: $(cat $CGROUP_FS/cpu.stat | grep usage_usec)"
17
echo "Throttled: $(cat $CGROUP_FS/cpu.stat | grep throttled)"
18

19
echo ""
20
echo "=== Memory ==="
21
echo "Limit: $(cat $CGROUP_FS/memory.max)"
22
echo "Current: $(cat $CGROUP_FS/memory.current)"
23
echo "Swap: $(cat $CGROUP_FS/memory.swap.current) / $(cat $CGROUP_FS/memory.swap.max)"
24
echo "OOM events: $(cat $CGROUP_FS/memory.events | grep oom)"
25

26
echo ""
27
echo "=== IO ==="
28
echo "Stats: $(cat $CGROUP_FS/io.stat)"
29
echo "Pressure: $(cat $CGROUP_FS/io.pressure)"
30

31
echo ""
32
echo "=== PSI ==="
33
echo "CPU: $(cat $CGROUP_FS/cpu.pressure)"
34
echo "Memory: $(cat $CGROUP_FS/memory.pressure)"

附、实践：用 Cgroup v2 限制进程资源#

本节用 Cgroup v2 的文件系统接口手工限制进程资源，观察限制效果。所有命令需要 root 权限。

附.1 确认 Cgroup v2 挂载#

1
mount | grep cgroup2
2
# cgroup2 on /sys/fs/cgroup type cgroup2 (rw,nosuid,nodev,noexec,relatime,nsdelegate)
3

4
cat /sys/fs/cgroup/cgroup.controllers
5
# cpuset cpu io memory hugetlb pids rdma

Cgroup v2 挂载在 /sys/fs/cgroup/，所有控制器共享同一棵 cgroup 树。

附.2 创建自定义 cgroup 并启用控制器#

1
# 创建 cgroup 目录
2
mkdir -p /sys/fs/cgroup/my-demo
3

4
# 启用 CPU 和 memory 控制器（从根 cgroup 委派）
5
echo "+cpu +memory" > /sys/fs/cgroup/cgroup.subtree_control
6

7
# 确认控制器已启用
8
cat /sys/fs/cgroup/my-demo/cgroup.controllers
9
# cpuset cpu io memory hugetlb pids rdma

附.3 设置内存限制#

1
# 设置内存上限为 512MB
2
echo "536870912" > /sys/fs/cgroup/my-demo/memory.max
3

4
# 确认限制生效
5
cat /sys/fs/cgroup/my-demo/memory.max
6
# 536870912

附.4 设置 CPU 限制#

1
# 限制 CPU 使用率为 50%（每 100000 微秒中最多使用 50000 微秒）
2
echo "50000 100000" > /sys/fs/cgroup/my-demo/cpu.max
3

4
# 确认限制生效
5
cat /sys/fs/cgroup/my-demo/cpu.max
6
# 50000 100000

cpu.max 的格式是 max quota：max 表示不限，50000 100000 表示每 100ms 周期内最多使用 50ms CPU 时间，即 50% CPU。

附.5 将进程移入 cgroup#

1
# 启动一个消耗 CPU 的进程
2
stress --cpu 1 --timeout 30 &
3

4
# 将进程 PID 写入 cgroup
5
echo $! > /sys/fs/cgroup/my-demo/cgroup.procs
6

7
# 观察 CPU 使用率被限制在 50%
8
top -bn1 | grep stress

附.6 观察 PSI 压力指标#

1
cat /sys/fs/cgroup/my-demo/cpu.pressure
2
# some avg10=0.00 avg60=0.00 avg300=0.00 total=0
3
# full avg10=0.00 avg60=0.00 avg300=0.00 total=0
4

5
cat /sys/fs/cgroup/my-demo/memory.pressure
6
# some avg10=0.00 avg60=0.00 avg300=0.00 total=0
7
# full avg10=0.00 avg60=0.00 avg300=0.00 total=0

PSI（Pressure Stall Information）是 Cgroup v2 的重要特性——some 表示”至少一个进程被延迟”，full 表示”所有进程被延迟”。当 CPU 或内存压力增大时，这些数值会上升，运维可以据此触发自动扩容。

注意：实验结束后清理 cgroup：rmdir /sys/fs/cgroup/my-demo。如果 cgroup 中仍有进程，需要先将它们移回根 cgroup。

十、本章小结#

上一章建立了Linux Namespace 的原理与实现的认知框架。

控制器	关键文件	功能	Docker 参数
CPU	cpu.max, cpu.weight	CPU 时间限制与权重	—cpus, —cpu-shares
内存	memory.max, memory.min, memory.low	内存限制与保护	—memory, —memory-reservation
IO	io.max, io.weight	块设备 IO 限制	—device-write-bps
PID	pids.max	进程数限制	—pids-limit
cpuset	cpuset.cpus, cpuset.mems	CPU 亲和性	—cpuset-cpus
PSI	cpu.pressure, memory.pressure, io.pressure	压力监控	无