Ausführung der Worker in Container und cgroups

[MartinGauk]

cgroups

Da cgroups verschachtelt werden können, können wir für alle Worker eine gemeinsame Haupt-cgroup erstellen. cpu.max und memory.max richten sich nach der Server-Konfiguration worker.max_workers (sollten wir umbenennen zu max_cpus) und worker.max_memory.

Für jeden Worker (außer den ThreadWorker) wird eine neue cgroup erstellt. CPU/Memory richten sich nach den Standardwerten, den vom Paket angeforderten Ressourcen oder den überschriebenen Werten (siehe #161).

Informationen zu cgroups:

• https://man7.org/linux/man-pages/man7/cgroups.7.html
• https://docs.kernel.org/admin-guide/cgroup-v2.html

Container-Worker

Als neue Worker-Art wird die Ausführung im Container hinzugefügt, was im Server auch der Standard werden soll. Unterstützt werden sollen Docker als auch Podman. Beide kennen das Argument --cgroup-parent. Standardmäßig sollen die Worker keinen Netzwerkzugriff erhalten.

Die Pakete sollen in ihrem Manifest definieren, in welcher Umgebung sie ausgeführt werden sollen, d.h. welche Python-Version sie erwarten. Perspektivisch könnte darüber auch eine Ausführung unter PyPy angefordert werden oder einer komplett anderen (Nicht-Python) Umgebung. In dem Feld sollte daher nicht nur >=3.13 sondern python>=3.13 stehen.

Zur Ausführung können wir sicherlich die Standard-Python-Images vom Docker Hub benutzen. Die Images werden regelmäßig gepullt und die Worker neugestartet, wenn eine neue Version bereitsteht.

Worker darf weitere Container starten lassen

Beispielsweise zur Ausführung von Programmierabgaben soll der Hauptprozess im Worker auch noch weitere Container (durch den Server) starten lassen können, die in der gemeinsamen Worker cgroup ausgeführt werden. --oom-score-adj sollte höher gesetzt werden als der Score des Worker-Hauptprozesses (der wiederum höher sein sollte als der des QuestionPy-Servers). Die Möglichkeit zum Starten weiterer Container (und welcher Images) muss als Permission über das Manifest angefordert werden. Die stdin/stdout/stderr werden direkt dem Hauptprozess zugänglich gemacht, damit die Kommunikation nicht weiter über den QuestionPy-Server erfolgen muss. Bei der Container-Erstellung muss das Paket angeben, wie viel Speicher dem Container maximal zur Verfügung stehen soll.

Hier ist es schwieriger zu sagen, welche Images zur Verfügung stehen sollen. Die Standard-Images aus dem Docker Hub werden für viele Anwendungsfälle nicht ausreichend sein. Hier wäre ein Mechanismus gut, dass man als Admin Dockerfiles hinterlegen kann. Die Images werden dann (bei Bedarf) automatisch gebaut. Hinterlegt werden können muss auch eine Logik, die darüber entscheidet, ob ein Image neugebaut werden muss (weil eine neuere Version des Basis-Images oder einer anderen Abhängigkeit vorliegt).

Ressourcennutzung im Container Manager

Da der Container Manager möglicherweise nicht exklusiv genutzt wird, müssten die Container mit einem Präfix erzeugt werden. Beim Server-Start werden eventuell noch laufende Container mit diesem Präfix gekillt.
Für die produktive Ausführung des QuestionPy-Servers sinnvoll wäre es, wenn wir regelmäßig ungenutzte Images/Layers prunen lassen. Dies kann über die Konfiguration aktiviert werden.

[MartinGauk]

Docker bereitet meinem Plan insofern Probleme, dass der Docker Daemon standardmäßig mit dem cgroupdriver systemd gestartet wird.

Wenn man beispielsweise docker run -it --cgroup-parent="/user.slice/user-1000.slice/user@1000.service/qpytest" --cpus=1 --memory="50M" ubuntu bash aufruft, kommt der Fehler docker: Error response from daemon: cgroup-parent for systemd cgroup should be a valid slice named as "xxx.slice". Ändert man den für den gesamten Daemon den cgroupdriver auf cgroupfs, hat man an der Stelle kein Problem. Mit Podman gibt es auch kein Problem, weil man hier das Argument --cgroup-manager bei jedem Aufruf einfach setzen kann.

Für den Server wäre es noch akzeptabel, zu verlangen, dass die Docker-Konfiguration angepasst werden muss, aber für das SDK fände ich das blöd. Zumal eine globale Änderung sich ja auch auf mögliche andere Docker-Container im System auswirkt.

Alternative 1: Privileged Container

Es wird ein Container mit der --privileged Option gestartet. Innerhalb des Containers können dann weitere cgroups erstellt und z.B. Podman ausgeführt werden.
Nachteil: Die verschachtelte Ausführung von Container in Container ist unschön.

Alternative 2: Keine cgroups für Worker erstellen

Wir erstellen keine cgroups selber und es gibt keine übergeordnete cgroup je Worker und keine cgroup für den gesamten Worker Pool.
Nachteil: Wir müssen die Ressourcen (Memory) getrennt den Containern eines Workers zuweisen, damit in der Summe nicht zu viel benutzt wird. Hinsichtlich CPU können wir nicht so leicht bestimmen, dass alle Container eines Workers zusammen nicht mehr als die zugewiesene CPU-Anzahl in Anspruch nehmen.

Alternative 3: Server/SDK getrennt betrachten

Im Server verwenden wir cgroups und im SDK nur wenn Podman oder Docker mit cgroupdriver=cgroupfs verfügbar sind. Grundsätzlich wollten wir im SDK ja ohnehin nicht die Verwendung des Container-Workers zwingend vorschreiben.

Alternative 4: Podman/Docker getrennt betrachten

Ähnlich wie Alternativen 2 und 3 zusammen. Wenn nur Docker mit cgroupdriver=systemd verfügbar ist, werden keine cgroups erstellt.
Nachteil: Kein konsistentes Verhalten des Servers und daher vermutlich keine richtige Option.

Alternative 5: Systemd die cgroups erstellen lassen

Mit systemd-run können wir Slices und Scopes erstellen lassen. Im Prinzip macht das so auch dieser systemd cgroupdriver (per D-Bus werden "transient units" gestartet).
Nachteil: Questionpy hat dann eine Abhängigkeit zu systemd.