我们在使用容器的过程中，可能会遇到一个问题，容器利用率很低，但是经常发生 oom，这是什么情况？

很可能是业务使用了一些不可回收的 page cache，其中最主要的应该就是 mlock

1. mlock 的背景

mlock 的作用就是防止页面被换出到 swap 分区，或者 page cache 被内核回收

由于线上服务器，基本默认都会关闭 swap 分区，所以这种情况暂不讨论，防止 page cache 被内核回首是主要作用

什么样的 page 需要 mlock？

1）通过 mmap 方式映射到内存中的 page cache，比如一些关键的索引数据，需要经常访问，那就得 mlock 住，否则 pgmajfault 带来的性能抖动是很大的

2）程序自身依赖的一些 so 动态链接库，由于内核的 page cache 回收算法，并不感知 page 具体是普通的文件 cache，还是 so 动态链接库，所以当容器内存不足时，内核通过一些粗略的回收算法回收 page cache，一旦把 so 的缓存页回收掉了，程序在调用相关函数时，会出现严重的性能抖动

因此，通过 mlock，显式的把一些关键的不希望被回收的 page cache 锁定起来，达到保证业务性能的目的

2. mlock 的内核实现

mlock 相关的系统调用可以参考：https://linux.die.net/man/2/mlock

2.1. unevictable 内存

cgroup 的 memory.stat 接口，包含一个容器内存使用的详细信息

cat /cgroups/v2/matrix/memory.stat 
anon 200723943424
file 158665015296
kernel_stack 0
slab 0
sock 229249024
shmem 4258582528
file_mapped 48234749952
file_dirty 8605696
file_writeback 0
inactive_anon 4258234368
active_anon 200570675200
inactive_file 73935654912
active_file 40680521728
unevictable 39942680576

其中 unevictable 表示不剔除的 page cache，mlock 属于 unevictable 的一部分，除此之外，unevictable 还有一些其他内存

本文内核代码版本：https://elixir.bootlin.com/linux/v4.14.281/source/mm/shmem.c

1. tmpfs 内存简介

tmpfs 文件系统是 pod 中常见的一种“存储”介质，也叫 ram disk，都是一个东西

tmpfs 的特殊的地方在于：

所以要讲 tmpfs 的话，就得把这两部分都讲清楚，一个是文件系统的实现，一个是底层“持久化”层内存的管理

通常应用程序之间会通过 tmpfs 文件系统来实现高效的数据共享

/dev/shm 就是一个最典型的 tmpfs 文件系统，是操作系统为了解决大多数程序数据共享而默认挂在的一个 tmpfs

2. tmpfs 文件系统的实现

我们知道 file 是linux内核最重要的设计，一切皆文件

除了普通的文件，平时我们接触到的，unix管道、socket、proc、cgroup 等等，都是基于文件的实现

为了实现灵活可扩展的文件系统架构，Linux设计了 virtual file system 抽象层，简称 vfs，对用户台程序屏蔽了所有具体的底层文件系统的实现细节，提供统一的文件系统接口

2.1. virtual file system 接口定义

https://www.kernel.org/doc/html/latest/filesystems/vfs.html

vfs 属于一个专题，我们这里不讲那么复杂，有时间可以专门展开讲

vfs 定义了文件系统实现最关键的2个接口：

inode_opertions 定义如下：

struct inode_operations {
    int (*create)(struct user_namespace*, struct inode*, struct dentry*, umode_t, bool);
    int (*symlink)(struct user_namespace*, struct inode*, struct dentry*, const char*);
    int (*mkdir)(struct user_namespace*, struct inode*, struct dentry*, umode_t);
    int (*rmdir)(struct inode*, struct dentry*); /* 省略一万字 */
};

是不是很熟悉？

file_operations 的定义如下：

struct file_operations {
    int (*open)(struct inode*, struct file*);
    loff_t (*llseek)(struct file*, loff_t, int);
    ssize_t (*read)(struct file*, char __user*, size_t, loff_t*);
    ssize_t (*write)(struct file*, const char __user*, size_t, loff_t*); /* 省略一万字 */
};

是不是也很熟悉？

内核 tmpfs 文件系统的源码：mm/shmem.c

tmpfs 其实并没有实现 vfs 中的所有接口，主要原因是因为由于绝大部分的 file system 底层实现其实都是一样的，没区别，所以内核为了简化文件系统的开发，把这些通用的实现都抽象出来，变成 generic_file_read/write 之类的通用实现

static const struct file_operations shmem_file_operations = { /* 普通文件的读、写、seek、fsync */ .mmap = shmem_mmap, .get_unmapped_area = shmem_get_unmapped_area, #ifdef CONFIG_TMPFS .llseek = shmem_file_llseek, .read_iter = shmem_file_read_iter, .write_iter = generic_file_write_iter, .fsync = noop_fsync, .splice_read = generic_file_splice_read, .splice_write = iter_file_splice_write, .fallocate = shmem_fallocate, #endif };
static const struct inode_operations shmem_inode_operations = { /* 这个是针对普通文件的 inode 操作 */ .getattr = shmem_getattr, .setattr = shmem_setattr, };
static const struct inode_operations shmem_dir_inode_operations = { /* 这个是针对目录的 inode 操作 */ #ifdef CONFIG_TMPFS .create = shmem_create, .lookup = simple_lookup, .link = shmem_link, .unlink = shmem_unlink, .symlink = shmem_symlink, .mkdir = shmem_mkdir, .rmdir = shmem_rmdir, .mknod = shmem_mknod, .rename = shmem_rename2, .tmpfile = shmem_tmpfile, #endif };