リソースのための戦い、パート5：最初から始める

cgroupの研究を続けています。 Red Hat Enterprise Linux 7では、systemdを使用するため、デフォルトで使用されます。また、彼はすでにcgroupを組み込み済みです。 Red Hatでは、Red Hat Enterprise Linux 6は少し異なります。 実際、cgroupsコントローラーは元々そこにありましたが、このバージョンはリリースされました。2010年1月、つまりコンピューターの数年前の数世紀前に思い出してください。







ただし、Red Hat Enterprise Linux 6のcgroupは、今日でも多くの機能を備えています。これについては、今日説明します。



Red Hat Enterprise Linux 6のcgroups機能を、完全に実際のイベントに基づいた1つの純粋に仮想的な例を使用して見てみましょう。 しかし、手始めには、伝統的に、小さな余談です。



ITセキュリティには今ほど多くの問題はありませんでした。 今日、すべてのコンピューターと電話がネットワークに接続されているだけでなく、冷蔵庫、掃除機、その他のさまざまなものも接続されているため、驚くことではありません。ネットワークの脅威の範囲は単純に広大です。 そして、これらの脅威との戦いは、原則として、すべての面ですぐに始まります。 セキュリティパッチのクイックインストール？ はい、間違いなく！ システムセキュリティの強化-ファイアウォール、SELinux、スマート認証、それだけですか？ もちろん！ Linuxマシン上のウイルス対策スキャナー？ さて、なんと言うか...



Linuxマシンでは、アンチウイルススキャナーが良いよりも害を及ぼすことがあります。 ただし、セキュリティガードには独自の理由があり、多くの場合、技術的な観点から健全性を実際に考慮することなく、定期的にウイルス対策スキャンを実行する必要があります。 そして、これは我慢しなければならない現実であり、遅かれ早かれ、ほぼすべてのIT専門家が直面します。



2番目のポイントは、Red Hat Enterprise Linux 7はもちろんファッショナブルで、先進的でクールですが、多くの人がいまだにRed Hat Enterprise Linux 6を使用しており、拒否しないと考えていることです。 実際、それが人々がRed Hatを選択する理由です-何年も同じバージョンを使用でき、最新のパッチ、アップデート、サポートをすべて入手できます。



例に戻りましょう... Jerryという名前の男がいると想像してください。 Jerryは大規模なオフィスで働いており、Red Hat Enterprise Linux 6サーバーの責任者であり、その動作に完全に満足しており、新しい問題やバントは必要ありません。



しかし、その後、セキュリティ部門のスタッフは、自分のすべてのサーバーでScanITと呼ばれるものを1つ置く必要があると判断しました。 そして、このことは定期的にディスクやメモリでウイルスやその他のマルウェアをチェックするため、完全なルートアクセスが必要です。



ジェリーはため息をつき、ギターを置き、ScanITをテストマシンに置きます。 すぐにこれが判明しました：

• ウイルス対策スキャンを実行すると、scanit（これはプロセスを開始するスクリプトです）が到達できるすべてのプロセッサー時間を使い果たします。 そして、このoはテストマシンの動作に非常に悪い影響を与えます-ジェリーがsshで到達できなかった場合。
• さらに、scanitプロセスは時々メモリを食いつぶします。 その結果、 OOM Killerが起動し、scanit自体以外のプロセスを強制終了し始めます。

一般に、これで何かをする必要があります。



ジェリーはギターを手に取り、グレイトフルデッドを弾きながら考え始めます。 Red Hat Enterprise Linux 7の同じcgroupがおそらくここで役立つ可能性があることを彼はすぐに思いつきました。Alexという名前の友人が彼に耳をすべらせました。 ジェリーは再びギターを弾き、 Red Hat Enterprise Linux 6でアレックスのドックを読むことに取りかかります。 彼が最初に必要とするのはlibcgroupであることがわかりました。



テストマシンにはlibcgroupがないため、Jerryはインストールを開始します。











さらに、Jerryには、永続的な（永続的な）cgroupの作業に必要な2つのサービスが含まれています。

• cgconfig-cgroupツリーを操作するための多少シンプルなインターフェースを提供します。 Jerryは確かにcgroupを手動でマウントおよび構成できますが、時間を節約できるのはなぜですか？
• cgred-これはcgroupルールエンジンです。プロセスが開始されると、このサービスは指定されたルールに従って1つまたは別のcgroupにプロセスを配置します。

これらすべてをインストールして構成すると、ジェリーは最終的に問題自体に直接進むことができます。 すべてを慎重に検討した後、彼は次の決定を下します。

• scanitとその子プロセスは、CPUリソースの20％以下を消費する必要があります。 実際、さらに少ない-マルチコアマシン上であっても、1つのプロセッサコアのリソースの20％以下です。 cgroupでは、これはCPUクォータを使用して行われます。
• メモリに関しては、scanitとその子プロセスは512 MBを超えるシステムメモリを消費しません。 それらがこの境界を越えている場合、システムは他のプロセスではなく、それらを強制終了します。

何をすべきかを言う必要はありません！

Jerryは2セットの構成ファイルを処理する必要があります。

• /etc/cgconfig.conf-libcgroupのインストール時に自動的に生成されます。
• /etc/cgrules.conf-cgredがcgroupsグループごとに実行中のプロセスをソートするルールセットのルールのセットが含まれています。

デフォルトのcgconfig.confファイルは次のようになります。











ジェリーは彼に必要な編集を直接行うこともできましたが、ドロップイン構成ファイルを使用する方が良いでしょう。 どのように機能しますか？ （Eng。Drop-in-drop）を.conf拡張子を持つファイルに/etc/cgconfig.dフォルダーに置くと、システムはそれを処理し、構成に適切な変更を加えます。 これは便利です。さまざまなタスクのドロップインを作成し、最適なツールを使用して構成に追加または削除できるためです（Ansible、それはまだRed Hatブログです）。



Jerryは最初にCPUのドロップインファイルを作成します。











ここにあるものと、それがどのように機能するかを調べます。



groupキーワードは、新しいcgroupの名前（この例ではscanit）を設定するだけです。 中括弧内で、使用するcgroupコントロールを指定します。 ここで、cpu.cfs_period_usとcpu.cfs_quota_usは、Red Hat Enterprise Linux 6でデフォルトで使用されるカーネルスケジューラであるCompletely Fair Schedulerで対応する制限を設定できます。RedHat Enterprise Linuxリソース管理ガイドでそれらについて書かれたものを見てみましょう6 ：











言い換えれば、ジェリーはドロップインで次のように書いています。「scanitという名前のcgroupに関連する各プロセスについて、割り当てられたCPUリソースの量を1秒間に1回チェックします。 このグループ内のすべてのプロセスの合計プロセッサ時間が200,000ミリ秒を超える場合、これらのプロセスへのプロセッサ時間の提供を完全に停止します。 つまり、scanit cgroup-group内のすべてのプロセスとその子プロセスを、合計でプロセッサー時間の20％以下に割り当てることです。



cgconfigを再起動すると、サーバーは構成を更新します。ファイルシステムにアクセスすると、scanitがCPUコントローラーディレクトリに配置されていることがわかります。











もちろんこれは良いことですが、それでもscanit自体をこのcgroupにプッシュする必要があります。 Crgedはここで役立ちます。デフォルトでは次のようになります。











このファイルの使用は多かれ少なかれ簡単です。 ただし、ここではドロップインメカニズムがサポートされていないため、cgrules.confファイルを直接編集する必要があります。 プロセスを所有するユーザーまたはグループ、および特定の（必要に応じて）プロセスの名前、およびカスタムコントローラーとcgroup宛先グループを示します。



この例では、実際のウイルス対策スキャナーscanitの代わりに、scanitとも呼ばれるスクリプトを使用しますが、実際には負荷をエミュレートするだけです。 cgroupがない場合、すべて次のようになります。



















CPUは、主にユーザースペースと少しのシステムによって完全に占有されます。



ジェリーはひげをひっかきます。 viを起動し、1本の人差し指を使用して、いくつかの変更を行い、cgredデーモンを再起動します。











次に、手動でscanitを起動します...：











そして-乾杯！ 勝利











ご覧のとおり、負荷エミュレートプロセス（scanitの子プロセス）は、主にユーザースペースとシステムで少しずつ、合計20％のCPUリソースを消費します。 したがって、このいまいましいアンチウイルスは、もは​​や完全な狂気に車をロードしません。

次は何を覚えていますか？

成功に喜び、ジェリーは彼の記憶をほとんど忘れていました。 しかし、それでも彼は記憶し、viを再起動して構成ファイルを修正します。



ここで、メモリに関する2つの設定を追加します。

• Memory.limit_in_bytes-最大 scanit cgroup内のすべてのプロセスが使用できるRAMの量。 そして、スワップスペースを考慮に入れずに。 Jerryは256 MBに制限しています
• Memory.memsw.limit_in_bytes-最大 合計で、scanit cgroup-group内のすべてのプロセスに割り当てることができるRAMボリュームとスワップファイル内のスペース。 このしきい値を超えると、プロセスはOOMキラーによって強制終了されます。 Jerryは512 MBに設定します。

やばい！ 何が悪いの？



Jerryは上部を見て、scanit子プロセスがまだ実行されていることを確認します。 このcgroupは現在使用中であるため、Jerryはサービスを開始できません。 したがって、子プロセスを手動で強制終了し、そのようなサービスを再起動します。











cgred.confを少し編集します。











確認するために、Jerryは複数のscanitタスクを一度に実行し、OOMキラーが確実に機能するようにします。











その後、Jerryはシステムログを見て満足してうなずきます。scanitは、免責を伴う量のメモリを残すことができなくなりました。











cgroupsの記事シリーズが、それが何であるか、Red Hat Enterprise Linux 7での使用方法、Red Hat Enterprise Linux 6での作成方法、環境での使用方法の理解に役立つことを願っています。

• パート1-habr.com/company/redhatrussia/blog/423051
• パート2-habr.com/company/redhatrussia/blog/424367
• パート3-habr.com/company/redhatrussia/blog/425803
• パート4-habr.com/company/redhatrussia/blog/427413
• パート6-habr.com/company/redhatrussia/blog/430748