一、/proc/cpuinfo:一个"诚实但无用"的镜像
/proc/cpuinfo 是 procfs 虚拟文件系统中的一个文件,由内核动态生成,实时反映系统当前的 CPU 状态。它包含处理器型号、核心数、频率、缓存大小等信息。在物理机上,这些数据准确无误。
但在容器内,情况变得微妙。
当你在 Docker 容器中执行 cat /proc/cpuinfo,输出的是宿主机的 CPU 信息。一台 32 核的服务器上跑着一个限制为 2 核的容器,容器内看到的依然是 32 个处理器。应用程序读取这个文件后,会基于 32 核来初始化线程池、设置并行度、配置 GC 线程数。
这就埋下了隐患:应用"以为"自己有 32 核可用,但 cgroup 实际上只给了它 2 核的时间配额。结果就是过度线程化、上下文切换激增、缓存失效,性能反而不如预期。
这种"认知偏差"是生产环境中大量性能问题的隐形杀手。而解决它的关键,在于理解 cgroup 是如何在底层真正限制 CPU 的。
二、cgroup v1:多树架构下的 CPU 控制
cgroup v1 于 2007 年随内核 2.6.24 引入,采用多层级、多树的架构设计。CPU 和内存各有独立的挂载点,各自为政。
在 v1 中,CPU 控制依赖两个协同工作的子系统:cpu 和 cpuacct。前者负责调度和配额管理,后者负责统计使用量。具体到限制手段,有两种:
第一种:基于权重的相对分配(cpu.shares)。 这是 v1 中最常用的方式。每个 cgroup 可以设置 cpu.shares 值,默认值为 1024。当多个 cgroup 竞争 CPU 资源时,内核按权重比例分配时间片。比如容器 A 设为 2048,容器 B 设为 1024,那么 A 获得的 CPU 时间是 B 的两倍。
但这里有个关键:cpu.shares 不设硬性上限。系统资源充足时,每个 cgroup 都能使用超过其权重比例的 CPU。它只在资源紧张时才生效。这意味着它无法做到精确限制,更像是一种"优先级排序"。
第二种:基于周期的绝对配额(cpu.cfs_quota_us + cpu.cfs_period_us)。 这才是真正的硬限制。cpu.cfs_period_us 定义调度周期,默认 100000 微秒(即 100 毫秒)。cpu.cfs_quota_us 定义在这个周期内最多能运行多少微秒。
计算公式很直观:quota 除以 period,就是 CPU 核数。比如 quota 设为 50000,period 为 100000,等于 0.5 核。设置为 -1 则表示不限制。
当容器内进程的 CPU 使用时间达到配额上限后,CFS 调度器会将其标记为节流状态(throttled),在本周期剩余时间内不再调度,直到下一个周期开始。
v1 的问题在于:由于多树架构,一个进程可能同时属于 cpu 树上的某个 cgroup 和 memory 树上的另一个 cgroup。这种分散管理导致配置复杂、状态不一致,且控制器之间缺乏联动。
三、cgroup v2:统一层级下的精细控制
cgroup v2 从 Linux 4.5 内核正式引入,在 5.4 之后逐渐成为主流。它最大的变革是将所有控制器整合到单一层级树下,所有资源管理在一个控制组层级中完成。
在 v2 中,CPU 控制被统一到 cpu 控制器下,提供两种接口:
第一种:基于权重的比例分配(cpu.weight)。 这是 v1 中 cpu.shares 的升级版。权重范围从 v1 的 2 到 262144 收缩为 1 到 10000,更符合直觉。默认值为 100。
计算逻辑与 v1 类似:容器时间片等于(容器权重 ÷ 同层级权重总和)× 调度周期。但实测数据显示,v2 的分配误差率从 v1 的 8.7% 降至 1.2%,精度大幅提升。
第二种:基于周期的绝对配额(cpu.max)。 这替代了 v1 中的 cfs_quota 和 cfs_period。文件内容格式为"MAXPERIOD",例如"200000 100000"表示每 100 毫秒周期内最多使用 200 毫秒 CPU 时间,等价于 2 个核心。
与 v1 相比,v2 的配额机制更简洁:不再需要分别设置周期和配额两个文件,一个 cpu.max 文件搞定。且 v2 原生支持根 cgroup 限制,可以管控整个系统的资源分配,这在 v1 中是做不到的。
更关键的是,v2 引入了压力反馈机制(PSI,Pressure Stall Information)。通过读取 /sys/fs/cgroup/container1/memory.pressure,可以看到某个值超过 10% 时表明存在资源竞争,超过 5% 则需紧急扩容。这种实时监控能力让资源瓶颈无处遁形。
四、v1 与 v2 的核心差异:一张表看清本质
| 维度 | cgroup v1 | cgroup v2 |
|---|---|---|
| 层级结构 | 多树分离,各控制器独立挂载 | 单一统一层级,所有控制器协同 |
| CPU 权重 | cpu.shares,范围 2~262144,默认 1024 | cpu.weight,范围 1~10000,默认 100 |
| CPU 配额 | cpu.cfs_quota_us + cpu.cfs_period_us | cpu.max,格式"MAXPERIOD" |
| 内存控制 | memory.limit_in_bytes(硬限制) | memory.min/low/high/max 四级水位 |
| 进程归属 | 同一进程的不同线程可分散在不同 cgroup | 同一进程的所有线程必须在同一个 cgroup |
| 根 cgroup 限制 | 不支持 | 原生支持 |
架构上的差异直接影响了行为表现。v1 的多树结构允许进程在不同控制器中属于不同层级,这带来了灵活性,也带来了配置冲突的风险。v2 的单树结构则从根本上杜绝了这种问题:一个进程属于一个控制组,该组下所有控制器配置统一生效,逻辑清晰,行为可预测。
五、核心数差异:问题的真正症结
回到最初的问题:为什么 /proc/cpuinfo 会"说谎"?
根本原因在于:/proc/cpuinfo 反映的是硬件拓扑,而 cgroup 限制的是调度配额。这两者是完全独立的信息源。
当 limits.cpu 设为 2 时,内核通过 cgroup.max 写入"200000 100000",告诉 CFS 调度器:这个 cgroup 在每 100 毫秒内最多用 200 毫秒 CPU 时间。但 /proc/cpuinfo 不会因此改变,它依然忠实地列出宿主机的 32 个逻辑核心。
JVM 是受此影响最典型的运行时。ParallelGC 的工作线程数、ForkJoinPool 的默认并行度、JIT 编译线程数,都与 Runtime.getRuntime().availableProcessors() 的返回值强相关。当这个值是 32 而实际配额只有 2 时,JVM 会创建远超实际需要的 GC 线程,导致大量无意义的上下文切换和 CPU 缓存失效。
现代 JVM(JDK 8u191 及以上版本)已支持 CGroup 感知,可通过 -XX:ActiveProcessorCount 参数手动指定实际可用核心数。旧版本则需要在启动脚本中读取 /sys/fs/cgroup 下的 cpu.max 文件,动态计算后注入。
六、底层调度:CFS 如何执行限制
无论 v1 还是 v2,CPU 限制的最终执行者都是内核的完全公平调度器(CFS)。
当 CFS 选择下一个运行进程时,会检查该进程所属 cgroup 的配额状态。如果该 cgroup 在当前周期内的 CPU 使用时间已达到 cpu.max(v2)或 cpu.cfs_quota_us(v1)设定的上限,调度器会将对应进程设置为节流状态,不再调度,直到下一个周期开始。
这种节流机制的开销极低——内核只需设置一个标志位,无需像 cpulimit 那样通过 SIGSTOP/SIGCONT 信号粗暴干预,避免了剧烈的上下文切换开销。
在 v2 中,还支持跨控制器联动。比如当内存压力高时,可以通过 cgroup.subtree_control 策略降低 IO 权重,实现资源间的动态协调。实测表明,这种机制在数据库容器中能将 P99 延迟降低约 42%。
七、如何判断你的系统使用的是哪个版本
在动手调优之前,先确认系统运行的是 v1 还是 v2。
执行 mount 命令,如果看到 cgroup2 挂载在 /sys/fs/cgroup,且类型为 cgroup2,则是 v2。如果看到多个以 cgroup on /sys/fs/cgroup/ 开头的行,分别挂载 cpu、memory 等子系统,则是 v1。
也可以检查 /sys/fs/cgroup 根目录下是否存在 cgroup.controllers、cgroup.subtree_control 等 v2 特有文件。若存在,即可确认。
对于使用 systemd 的现代发行版,还可以通过内核启动参数 systemd.unified_cgroup_hierarchy=1 来强制启用 v2。
结语
/proc/cpuinfo 是一扇窗,但它照见的是宿主机的全貌,而非容器的真相。真正掌控容器 CPU 命运的,是 cgroup。从 v1 的多树分散到 v2 的统一层级,Linux 内核用了近十年时间,把资源管理从"各自为政"打磨成"令行禁止"。
理解这一层底层逻辑,不是为了在面试中炫耀,而是为了在生产环境中,当 GC 线程数异常、CPU 限流告警突然爆发时,你能一眼看穿问题的根源——那个老实巴交的 /proc/cpuinfo,从一开始就没打算告诉你真相。
