Ubuntu Overlay如何限制资源使用

Ubuntu Overlay资源限制的核心方法：结合cgroups（控制组）
Overlay文件系统本身不具备直接限制CPU、内存等资源的能力，需通过Linux内核的**cgroups（控制组）**功能实现资源管控。cgroups通过将进程分组并设置资源配额，间接限制Overlay文件系统相关进程的资源使用。

1. 安装cgroup工具

在Ubuntu上，需先安装cgroup-tools包以管理cgroups：

sudo apt-get update
sudo apt-get install cgroup-tools

2. 创建cgroup并设置资源限制

以限制内存使用为例，步骤如下：

• 创建内存cgroup：
  通过cgcreate命令创建名为myoverlay的内存cgroup：

  sudo cgcreate -g memory:/myoverlay
  

• 设置内存上限：
  向memory.limit_in_bytes文件写入限制值（单位：字节）。例如，限制为512MB：

  echo $((512 * 1024 * 1024)) | sudo tee /sys/fs/cgroup/memory/myoverlay/memory.limit_in_bytes
  

  若需限制CPU资源（如1个CPU核心），可修改cpu.cfs_quota_us和cpu.cfs_period_us：

  echo 100000 | sudo tee /sys/fs/cgroup/cpu/myoverlay/cpu.cfs_quota_us  # 1个核心=100000微秒（周期为100000微秒）
  echo 100000 | sudo tee /sys/fs/cgroup/cpu/myoverlay/cpu.cfs_period_us
  

3. 将Overlay相关进程加入cgroup

需获取Overlay进程的PID（进程ID），然后将其添加到cgroup中：

• 查找进程PID：
  使用ps或pgrep命令查找Overlay进程（如overlayfs或容器进程）。例如：

  ps aux | grep overlayfs
  

• 添加进程到cgroup：
  使用cgclassify命令将进程加入myoverlay组：

  sudo cgclassify -g memory,cpu:myoverlay <PID>
  

  若为Docker容器，可通过容器ID批量添加所有进程：

  sudo cgclassify -g memory,cpu:myoverlay $(docker inspect -f '{{.State.Pid}}' <容器ID>)
  

4. 验证资源限制生效

• 查看cgroup配置：
  使用cgget命令确认限制是否设置成功：

  sudo cgget -g memory,cpu:/myoverlay
  

• 监控实时资源使用：
  通过top、htop或docker stats（若为Docker容器）查看资源占用，确认未超过设定上限。

针对Docker容器的简化方法

若使用Docker的overlay2存储驱动，可直接在运行容器时通过参数限制资源：

• 限制内存：

  docker run -it --storage-driver=overlay2 -m 512m ubuntu:latest /bin/bash
  

• 限制CPU：

  docker run -it --storage-driver=overlay2 --cpus="1" ubuntu:latest /bin/bash
  

  此方式会自动创建cgroup并应用限制，无需手动操作。

注意事项

• 需root权限执行cgroup相关命令；
• 限制内存时，需预留足够内存给系统和其他进程，避免OOM（内存不足）导致系统崩溃；
• 对于长期运行的服务，建议将cgroup配置写入启动脚本或systemd服务文件，确保重启后生效。