2. 程式人生 > >docker 實踐(六)docker 資源隔離及限制

docker 實踐(六)docker 資源隔離及限制

阿新 發佈:2018-12-18

一、docker 底層實現

docker 通過namespace實現資源隔離;通過cgroup實現資源限額


二、namespace說明

2.1.概述

namespace使得容器像一臺獨立的計算機,namespace實現容器間資源隔離。linux六中namespace

mnt namespace 讓容器擁有檔案系統,允許不同 namespace 的程序看到的檔案結構不同

UTS("UNIX Time-sharing System") namespace 讓容器擁有獨立的hostname和domain name

IPC namespace 讓容器擁有共享核心和訊號量來實現程序間通訊

PID namespace 讓容器擁有自己的PID

Network namespace 讓容器擁有自己獨立的網路資源如網絡卡、IP等

User namespace  讓容器能夠管理自己使用者


2.2.檢視當前容器的namespace

檢視當前容器程序:

# ps -ef | grep docker
root      8137 18518  0 21:13 pts/0    00:00:00 grep --color=auto docker
root     21861     1  0 03:56 ?        00:02:04 /usr/bin/dockerd --insecure-registry 192.168.2.120:5000 -H unix://

檢視namespace:

# ls -l /proc/21861/ns/
total 0
lrwxrwxrwx 1 root root 0 Dec 17 21:13 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 mnt -> mnt:[4026531840]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 net -> net:[4026531956]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 pid -> pid:[4026531836]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 uts -> uts:[4026531838]

一、docker 底層實現

docker 通過namespace實現資源隔離;通過cgroup實現資源限額


二、namespace說明

2.1.概述

namespace使得容器像一臺獨立的計算機,namespace實現容器間資源隔離。linux六中namespace

  • mnt namespace 讓容器擁有檔案系統,允許不同 namespace 的程序看到的檔案結構不同

  • UTS("UNIX Time-sharing System") namespace 讓容器擁有獨立的hostname和domain name

  • IPC namespace 讓容器擁有共享核心和訊號量來實現程序間通訊

  • PID namespace 讓容器擁有自己的PID

  • Network namespace 讓容器擁有自己獨立的網路資源如網絡卡、IP等

  • User namespace  讓容器能夠管理自己使用者


2.2.檢視當前容器的namespace

檢視當前容器程序:

# ps -ef | grep docker
root      8137 18518  0 21:13 pts/0    00:00:00 grep --color=auto docker
root     21861     1  0 03:56 ?        00:02:04 /usr/bin/dockerd --insecure-registry 192.168.2.120:5000 -H unix://

檢視namespace:

# ls -l /proc/21861/ns/
total 0
lrwxrwxrwx 1 root root 0 Dec 17 21:13 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 mnt -> mnt:[4026531840]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 net -> net:[4026531956]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 pid -> pid:[4026531836]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Dec 17 21:13 uts -> uts:[4026531838]

3.2.docker cgroup限制資源

3.2.1.檢視當前容器程序

# docker ps

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMES

37803352e3fa        registry:latest     "/entrypoint.sh /etc…"   17 hours ago        Up 17 hours         0.0.0.0:5000->5000/tcp   ckl-registry


3.2.2.檢視當前容器的crgoup目錄,目錄名為程序長ID

CPU:

# ls /sys/fs/cgroup/cpu/docker/37803352e3fab5a357cab42ba6f2ec03ede5d3138dcc1ff9fec6c5e0ed44651d/

MEM:

# ls /sys/fs/cgroup/memory/docker/37803352e3fab5a357cab42ba6f2ec03ede5d3138dcc1ff9fec6c5e0ed44651d/

BIO:

# ls /sys/fs/cgroup/blkio/docker/37803352e3fab5a357cab42ba6f2ec03ede5d3138dcc1ff9fec6c5e0ed44651d/

四、docker cgroup限制記憶體

docker 啟動引數記憶體限制,記憶體單位 b、k、m、g,分別對應 bytes、KB、MB、和 GB

  • -m --memory:容器能使用的最大記憶體大小,最小值為 4m

  • --memory-swap:容器能夠使用的 swap 大小

  • --memory-swappiness:預設情況下,主機可以把容器使用的匿名頁(anonymous page)swap 出來,你可以設定一個 0-100 之間的值,代表允許 swap 出來的比例

  • --memory-reservation:設定一個記憶體使用的 soft limit,如果 docker 發現主機記憶體不足,會執行 OOM 操作。這個值必須小於 --memory 設定的值

  • --kernel-memory:容器能夠使用的 kernel memory 大小,最小值為 4m。

4.1.測試限額128M記憶體

# docker run --rm -it -m 128M progrium/stress --vm 1 --vm-bytes 100M 
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogvm worker 1 [8] forked
stress: dbug: [8] allocating 104857600 bytes ...  #分配100M 
stress: dbug: [8] touching bytes in strides of 4096 bytes ...
stress: dbug: [8] freed 104857600 bytes  #釋放100M 
stress: dbug: [8] allocating 104857600 bytes ...
stress: dbug: [8] touching bytes in strides of 4096 bytes ... #分配100M
stress: dbug: [8] freed 104857600 bytes  #釋放100M
stress: dbug: [8] allocating 104857600 bytes ...
stress: dbug: [8] touching bytes in strides of 4096 bytes ...
stress: dbug: [8] freed 104857600 bytes
stress: dbug: [8] allocating 104857600 bytes ...
stress: dbug: [8] touching bytes in strides of 4096 bytes ...
stress: dbug: [8] freed 104857600 bytes
stress: dbug: [8] allocating 104857600 bytes ...
stress: dbug: [8] touching bytes in strides of 4096 bytes ...
stress: dbug: [8] freed 104857600 bytes

#-rm 當程序退出,自動刪除容器

#--vm 1 啟動一個記憶體工作執行緒

#--vm-bytes 設定每個執行緒分配多少記憶體

 

當執行緒記憶體超出限額後:

# docker run --rm -it -m 128M progrium/stress --vm 1 --vm-bytes 130M
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogvm worker 1 [9] forked
stress: dbug: [9] allocating 136314880 bytes ...
stress: dbug: [9] touching bytes in strides of 4096 bytes ...
stress: FAIL: [1] (416) <-- worker 9 got signal 9
stress: WARN: [1] (418) now reaping child worker processes
stress: FAIL: [1] (422) kill error: No such process
stress: FAIL: [1] (452) failed run completed in 0s

#記憶體超過限額後,容器退出

五、docker cgroup限制CPU

--cpu-period #限制CPU CFS優先順序

--cpu-quota  #限制CPU CFS配額

--cpu-rt-period  #限制CPU執行時鐘期間優先順序

--cpu-rt-runtime  #限制CPU執行時鐘期間runtime 時長

--cpu-shares , -c  #設定使用CPU權重

--cpus   #設定可以使用CPU的核數

--cpuset-cpus  #設定執行在CPU哪些核數上執行


5.1.用4個CPU模擬壓力

5.1.1.啟動一個stree容器4個程序來計算壓力,主機8個cpu

# docker run --rm -it progrium/stress --cpu 4
stress: info: [1] dispatching hogs: 4 cpu, 0 io, 0 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 12000us
stress: dbug: [1] --> hogcpu worker 4 [8] forked
stress: dbug: [1] using backoff sleep of 9000us
stress: dbug: [1] --> hogcpu worker 3 [9] forked
stress: dbug: [1] using backoff sleep of 6000us
stress: dbug: [1] --> hogcpu worker 2 [10] forked
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogcpu worker 1 [11] forked

5.1.2.檢視系統資源

111.png


5.2.限制容器使用CPU核數

5.2.1.執行容器可以使用的核數的

# docker run --rm -it --cpus 1.5 progrium/stress --cpu 2  #--cpus 限制使用CPU核數的多少,這裡1.5,就是使用1.5個CPU,總共是兩個
stress: info: [1] dispatching hogs: 2 cpu, 0 io, 0 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 6000us
stress: dbug: [1] --> hogcpu worker 2 [8] forked
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogcpu worker 1 [9] forked

5.2.2.檢視使用系統資源

222.png


5.3.限制容器執行在某些核數

5.3.1.執行容器在指定的核數

# docker run --rm -it --cpuset-cpus=2,3 progrium/stress --cpu 2  #cpu執行在2,3核數上,總共是兩個
stress: info: [1] dispatching hogs: 2 cpu, 0 io, 0 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 6000us
stress: dbug: [1] --> hogcpu worker 2 [6] forked
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogcpu worker 1 [7] forked

5.3.2.檢視資源情況

333.png


六、docker cgroup限制IO

--blkio-weight  Block IO相對權重,在10到1000之間,0是禁止,預設是0

--blkio-weight-device Block IO權重,相對裝置權重

--device-read-bps:磁碟每秒最多可以讀多少位元(bytes)

--device-write-bps:磁碟每秒最多可以寫多少位元(bytes)

--device-read-iops:磁碟每秒最多可以執行多少 IO 讀操作

--device-write-iops:磁碟每秒最多可以執行多少 IO 寫操作


6.1.磁碟寫入速度限制

啟動容器限制寫入速度

# docker run -it --device-write-bps /dev/sda:20M centos
[[email protected] /]# 
[[email protected] /]# dd if=/dev/zero of=/ckl bs=1M count=200 oflag=direct    
200+0 records in
200+0 records out
209715200 bytes (210 MB) copied, 9.92785 s, 21.1 MB/s

寫入速度限制在20M,oflag=direct指定用direct IO 方式寫檔案


6.2.磁碟寫入IO限制

啟動容器限制寫入IO:

# docker run -it --device /dev/sda:/dev/sda --device-write-iops /dev/sda:100 centos 
[[email protected] /]# 
# dd if=/dev/zero of=/ckl bs=1k count=2000 oflag=direct 
2000+0 records in
2000+0 records out
2048000 bytes (2.0 MB) copied, 19.9126 s, 103 kB/s


參考:

https://docs.docker.com/edge/engine/reference/commandline/run/#options

https://blog.csdn.net/notbaron/article/details/76789491


相關推薦

docker 實踐docker 資源隔離限制

一、docker 底層實現 docker 通過namespace實現資源隔離;通過cgroup實現資源限額 二、namespace說明 2.1.概述 namespace使得容器像一臺獨立的計算機,namespace實現容器間資源隔離。linux六中namespace mnt namespac

docker學習—— docker儲存卷

參考:https://www.imooc.com/article/26316 Docker映象由多個只讀層疊加而成,啟動容器時,Docker會載入只讀映象層並在映象棧頂部新增一個讀寫層 如果執行中的容器修改了一個現有的一個已存在的檔案,那該檔案將會從讀寫層下面的只讀層複製到讀寫層,該

Docker入門與應用系列Docker私有與公共鏡像倉庫

nbsp one 默認 span epo refers 1.8 png list 1.搭建私有鏡像倉庫Docker Hub作為Docker默認官方公共鏡像;如果想搭建自己的私有鏡像倉庫,官方提供registry鏡像,使搭建私有倉庫非常簡單1.1.1下載registry鏡像並

Docker學習: 網絡使用與配置

sock AR -i 回顧 覆蓋 htm 參考 ble dock 特別聲明:   博文主要是學習過程中的知識整理,以便之後的查閱回顧。部分內容來源於網絡(如有摘錄未標註請指出)。內容如有差錯,也歡迎指正! =============系列文章============= 1

Docker實踐容器

Docker中,容器是獨立執行的一個或一組應用,以及應用執行的環境;對應傳統的虛擬化,虛擬機器可以理解為模擬作業系統和執行在上面的應用。 啟動容器 啟動容器一般有兩種方式,一種是新建容器並啟動,一種是將終止狀態的容器重新啟動,Docker容器非常的輕量級,能夠很好的支援使

docker入門

如在文件中遇到什麼問題請聯絡作者 QQ:1172796094 本人正在找深圳Java實習工作,求大佬帶飛 —————————————————————————————————————— 實戰:推送redis映象到阿里雲倉庫 第一步,在阿里雲倉庫建立redis映象庫: 點選管理,顯示映象倉

docker 實踐公共倉庫私有倉庫

一、docker倉庫說明 Docker registries 可以上傳和下載image,有共有和私有兩種。共有就是Docker Hub,私有就是自建一個倉庫使用。 二、docker hub使用 2.1.註冊使用者 註冊地址:https://hub.docker.com 2.2.登陸上傳映

Docker實踐Dockerfile

什麼是Dockerfile? 使用Dockerfile,可以方便的建立自定義映象。 基本結構 由一行行命令組成,支援#註釋。Dockerfile一般分為四個部分: 基礎映象資訊 維護者資訊 映象操作指令 容器啟動指令 如下面是一個基礎的Dockerfile

Docker實踐

Docker是一款以容器虛擬化技術為基礎的軟體。 什麼是虛擬化技術 虛擬化技術是一種將計算機物理資源進行抽象、轉換為虛擬的計算機資源提供給程式使用的技術。常見的計算機資源包括CPU、記憶體、硬碟儲存、網絡卡等。通過虛擬化技術來管理計算機資源,不但能對計算機資源的控制變得更

Docker實踐

Docker來源 隨著網際網路的極速發展,應用程式的功能越來越豐富,而需要迭代的速度要求也越來越高,為了實現這些目標,應用的開發逐漸趨向服務化甚至微服務化。微服務化對應用程式進行拆分,導致這個應用的執行環境會變得越來越複雜,尤其是應用程式比較大、涉及服務比較多的時候,極大的

Docker實戰Docker安裝Redis

Docker安裝Redis 初次使用Docker安裝各種環境,果然是一堆坑啊,坑,坑,坑,坑死我了。。 大概步驟: 上傳Redis到宿主機,或者在宿主機中下載 編寫Dockerfile構建映象 編寫supervisor配置檔案 build和run

Docker實踐應用場景和安裝

 隨著網際網路的發展,容器技術越來越得到大規模應用廠家的重視。Docker作為paas平臺的容器,最近幾年引起眾多技術人士的關注,並且也越來越流行。 一、Docker是什麼 Docker 是一個開源的

docker實踐1 在ubuntu15.10裡面安裝docker

新建一個指令碼 內容如下#!/bin/bash sudo apt-get install software-properties-common #增加 add-apt-repository 命令 sudo apt-get install python-software-p

Docker最全教程——從理論到實戰(六) Docker最全教程——從理論到實戰(一) Docker最全教程——從理論到實戰 Docker最全教程——從理論到實戰 Docker最全教程——從理論到實戰 Docker最全教程——從理論到實戰

原文: Docker最全教程——從理論到實戰(六) 託管到騰訊雲容器服務 託管到騰訊雲容器服務,我們的公眾號“magiccodes”已經發布了相關的錄屏教程,大家可以結合本篇教程一起查閱。   自建還是託管? 在開始之前,我們先來討論一個問題——是自建容器服務還是託管到雲容

docker學習筆記——docker網路

docker網路主要分為兩塊——容器對外服務和容器內部服務 對外服務很好理解,比如我啟動了一個mysql的容器,然後讓別的機器可以連線到這個mysql,就是對外服務;容器內部服務很好理解,就是幾個容器之間的互相通訊。 1 容器對外服務 當容

Docker基礎學習-Docker容器的網路連線

一.Docker容器的網路基礎 通過ifconfig檢視docker0的網路裝置,docker守護程序就是通過docker0為docker的容器提供網路連線的各種服務。 docker0是Linux虛擬網橋。 Linux虛擬網橋的特點: 可以設定IP地址 相當於擁

Docker快速入門系列——Docker常用命令之映象命令

                                             《 Docker常用命令之映象命令 》 前言 在前面的文章中進行了Docker的安裝和配置,在接下來的文章中將對 Docker 的常用命令進行介紹,本篇先從最基本的 “

Docker 入門到實踐Docker 三個基本概念

gist 系統 概念 png tag 分發 rep 創建 多層 一、Docker 的三個進本概念? 了解 Docker 的三個基本概念,就可以大致了解 Docker 的生命周期。 鏡像(Image) 容器(Container) 倉庫(Repository)

Docker筆記:容器管理

原文地址:http://blog.jboost.cn/2019/07/21/docker-6.html   容器是Docker中的另一核心概念,在Docker中,應用的執行都是在容器內進行的,容器則基於映象建立。前面已對Docker映象做了基本介紹,本文對Docker容器管理的相關內容做一個梳理

Docker學習Dockerfile構建自定義映象

Docker學習(六)Dockerfile構建自定義映象 前言 通過前面一篇文章可以知道怎麼去使用一個映象搭建服務,但是,如何構造自己的一個映象呢,docker提供了dockerfile可以讓我們自己構造一個屬於自己的映象 什麼是dockerfile 是一個包含用於組合映象的命令的文字文件 Docker