Docker资源控制

最新推荐文章于 2024-06-28 14:38:00 发布
置顶 最新推荐文章于 2024-06-28 14:38:00 发布
阅读量315 收藏
点赞数
分类专栏: Docker 文章标签: docker 资源控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ML908/article/details/105630816
版权

文章目录

一、网络资源控制

firewalld防火墙中自带nat地址转换功能,所以不要关闭,只需要把setenforce 0核心防护关闭就行了

1、查看docker网络信息

[root@localhost ~]# docker network ls

在这里插入图片描述

网络模式详解

安装Docker时,它会自动创建三个网络,bridge (创建容器默认连接到此网络)、none 、host

host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口。(与宿主机共享)

None:该模式关闭了容器的网络功能。

Bridge:此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及Iptables nat表配置与宿主机通信。(默认为该模式)

Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围。(容器和另外一个容器共享)

以上都是不用动手的,真正需要配置的是自定义网络。

docker装完以后会多一个docker0网卡

docker0:虚拟容器网关(所有容器的网关:172.17.0.1)
在这里插入图片描述

2、配置docker网络

① bridge自动给分配

桥接bridge模式会自动分配给容器一个IP地址,无法手动指定IP

例如:

[root@localhost ~]# docker run -itd --name test1 --network bridge --ip 172.17.0.100 centos:7 /bin/bash

在这里插入图片描述在这里插入图片描述在这里插入图片描述

现在我们正常选择bridge模式,不手动指定ip尝试创建

[root@localhost ~]# docker run -itd --name test1 --network bridge centos:7 /bin/bash

可以看到是可以创建成功的,并且是开启状态
在这里插入图片描述

登录容器查看IP

容器里面是什么都没有的,所以需要下载工具才可以使用ifconfig查看IP

[root@localhost ~]# docker exec -it 19781c1232b6 /bin/bash
[root@19781c1232b6 /]# yum install -y net-tools

在这里插入图片描述在这里插入图片描述

② 自定义网络(手动指定固定IP)

创建一个子网段的命名空间,自定义一个网络命名空间

在这里插入图片描述

创建容器选择自己定义的网络命名空间mynetwork,指定固定IP

[root@localhost ~]#docker run -itd --name test2 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash

在这里插入图片描述

登录容器查看IP

[root@localhost ~]# docker exec -it 9c33f88df086 /bin/bash
[root@19781c1232b6 /]# yum install -y net-tools

在这里插入图片描述

二、CPU资源控制

1、CPU使用率上限控制

#进入目录

[root@localhost ~]# cd /sys/fs/cgroup/cpu/docker

在这里插入图片描述在这里插入图片描述

查看cpu.cfs_quota_us 文件,可以看到一个参数值
在这里插入图片描述

参数值 -1 :表示cpu使用资源不受限制
这种情况是不合理的,影响非常严重,所以需要做限制

不合理原因:

①一个节点服务器有多个容器,一个容器占用率高,其他容器资源不够使用
②比如这一个容器受到攻击,可以直接使服务器瘫痪

cpu周期为1s 参数值为100000 假如要使用cpu配比为20%,设置参数值为20000即可。1s为100000,0.2s 20000

参数限定有两种方式:

① 创建容器时直接设定好(–cpu-quota)

在Docker中可以通过–cpu-quota选项来限制CPU的使用率

② 更改配置文件

修改对应的Cgroup配置文件/sys/cgroup/cpu/docker/容器编号/cpu.cfs_quota_us 参数值来实现,直接使用echo将值导入此文件中即可生效

示例:创建容器时设定

#创建容器

[root@localhost ~]# docker run -itd --name test3 --cpu-quota 20000 centos:7 /bin/bash

在这里插入图片描述

#进入容器进行压力测试

[root@54bbe1f49f76 /]# yum install bc -y		#安装压测工具
[root@54bbe1 f49f76/]# echo "scale=5000;4* a(1)" | bc -l -q		#计算圆周率的压测公式

解释:
计算圆周率的压测公式
scale=5000,小数点后面的5000位。a是bc的一个内置函数,代表反正切arctan ,由于tan(pi/4) = 1,于是4*arctan(1) = pi -l使用标准数学库 -q不输出在界面

在这里插入图片描述在这里插入图片描述

2、多任务按比例分享CPU

当有多个容器任务运行时,很难计算CPU的使用率。为了使容器合理使用CPU资源,可以通过–cpu-share选项来设置CPU按比例共享资源,这种方式还可以实现CPU使用率的动态调整,灵活性大大增加

如:运行两个容器,设置容器的权重,使得c1和c2的CPU资源占比为33.3%和66.7%,(1 : 2)

权重解释:

docker run -itd --name c1 --cpu-shares 512 centos:7
docker run -itd --name c2 --cpu-shares 1024 centos:7

比如两个容器,比例整合在一起,c1占512为1/3,c2占1024为2/3,这种就叫做权重,灵活性大大增加

如果再增加一个容器

docker run -itd --name c3 --cpu-shares 1024 centos:7

c1占512为1/5,c2占1024为2/5,c3占1024为2/5 (1 : 2 : 2)

① 创建容器

[root@localhost ~]# docker run -itd --name c1 --cpu-shares 512 centos:7
[root@localhost ~]# docker run -itd --name c2 --cpu-shares 1024 centos:7

在这里插入图片描述

② 压力测试

#进入容器并安装压测工具(两个容器均操作)

[root@8f2682289344 /]#  yum install -y epel-release  
[root@8f2682289344 /]#  yum install stress -y

#压测,产生四个CPU线程使其满载(两个容器同时操作)

[ root@5ed79616b34c /]# stress -c 4

#验证结果

重新打开终端,使用docker stats查看每个容器的资源使用情况

在这里插入图片描述

3、限制容器使用指定的CPU内核

在Docker中可以使用–cpuset-cpus选项来使某些程序独享CPU内核,以便提高其处理速度,选项后直接跟参数0,1,2,3……表示第1个内核,第二个内核,第三个内核,第四个内核……,与/rpoc/cpuinfo中的CPU编号(processor)相同。

对应的Cgroup配置文件/sys/fs/cgroup/cpuset/docker/容器编号/cpuset.cpus。

使用top命令按1查看

在这里插入图片描述

① 创建容器并指定使用CPU内核

只使用第二个(CPU1)和第四个(CPU3)核心数资源

[root@localhost ~]# docker run -itd --name test4 --cpuset-cpus 1,3 centos:7 /bin/bash

在这里插入图片描述

② 压力测试

#进入容器并安装压测工具

[root@e504d80ff6e1 /]#  yum install -y epel-release  
[root@e504d80ff6e1 /]#  yum install stress -y

#压测,产生四个CPU线程使其满载(两个容器同时操作)

[root@e504d80ff6e1 /]# stress -c 4

#验证结果

重新打开终端,使用top命令按1查看
在这里插入图片描述

以上CPU资源管控可以同时使用

三、内存资源控制

内存使用就是设置交换分区的上限值。可以使用docker run -m命令来限制容器内存使用量。

相应的Cgroup配置文件为/sys/fs/cgroup/memory/memory.limit_in_bytes

注意:一旦容器Cgroup使用的内存操过了限制的容量,Linux内核将会尝试收回这些内存,如果仍旧没法控制内存使用在限制范围之内,进程将会被杀死

1、创建容器并限制内存使用

#限制容器内存为512M

[root@localhost ~]# docker run -itd --name test5 -m 512m centos:7

在这里插入图片描述

2、验证

#进入容器并安装压测工具

[root@fa2c219eb994 /]#  yum install -y epel-release
[root@fa2c219eb994 /]#  yum install stress -y

##压测

[root@fa2c219eb994 /J]# stress -m 1204m --vm 2

#验证结果

重新打开终端,使用docker stats命令查看

[root@localhost~] # docker stats

在这里插入图片描述

不使用压测,也可直接使用docker stats命令查看LIMIT上限值设定为512M

在这里插入图片描述

四、IO资源控制

如果是在一台服务器上进行容器的混合部署,那么会出现同时有几个程序写磁盘数据的情况,这时可以通过–device-write-iops选项来限制写入的iops,相应的还有–device-read-bps选项可以限制读取的iops。但是这种方法只能针对blkio限制的设备(device),而不是分区

  • bps是byte per second的简写,意思是每秒读写的数据量
  • iops是io per second的简写,意思是每秒IO的次数

blkio限制示例

① 限制读某个设备的bps (数据量):–device-read-bps:

例: docker run -itd --name blkio1 --device-read-bps /dev/sda:30M centos:7 /bin/bash

② 限制写入某个设备的bps (数据量):–device-write-bps

例: docker run -itd --name blkio2 --device-write-bps /dev/sda:30M centos:7 /bin/bash

③ 限制读某个设备的iops (次数):–device-read-iops

④ 限制写入某个设备的iops (次数):–device-write-iops

ML908
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DockerDocker资源控制(Cgroup资源配置方法)
m0_47219942的博客
09-25 1796
DockerDocker资源控制(Cgroup资源配置方法)前言一:Cgroup资源分配1.1:为什么容器要做资源分配?1.2:Cgroup概述1.2:使用stress压力测试工具来测试CPU和内存使用状况1.2.1:stress工具介绍1.2.2:操作步骤二:CPU的周期限制2.1:操作步骤三:CPU Core控制3.1:实操步骤四:CPU配额控制参数的混合使用4.1:实操步骤五:内存限额5.1:实操步骤六:Block IO的限制6.1:实操步骤七:bps和iops的限制7.1:实操步骤 前言 默认情
Docker --docker安全、docker资源控制docker安全加固
ly660402的博客
02-19 812
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方...
docker 资源控制
weixin_51694382的博客
12-12 998
是给每个容器使用cpu设置了相对的权重,权重高的,可以使用cpu的资源更多,但是,如果只有一个容器在运行,即使设置了权重,但是没有其他权重高的权重的容器来占用资源,权重第的容器不受影响。在使用dd获取空字符集是从文件系统的缓存当中输入,速度是比较快的,禁用文件系统缓存,直接把数据写入磁盘,可以更真实的测试设备的性能,模拟直接写入物理设备的情况。如果-m 512m --memory-swap--1, 内存受限还是512M,但是容器使用swap空间不再限制。以及在这个周期之内各个容器能够使用cpu的调度时间。
docker resource设置
最新发布
weixin_37052854的博客
06-28 26
Docker相关视频讲解:什么是容器Docker介绍Docker资源设置简介 Docker是一种容器化平台,可以将应用程序及其所有依赖项打包在一个独立的容器中,并在任何地方运行。在使用Docker时,可以对容器的资源进行设置,以确保应用程序能够正常运行并充分利用系统资源Docker资源设置 在Docker中,可以通...
Docker资源控制
m0_49683806的博客
03-07 606
Docker 容器技术在开发和部署应用程序方面带来了极大的便利。然而,随着容器数量的增加,合理地管理和控制资源使用变得至关重要。详细介绍如何使用 Docker 对容器的资源进行控制,包括内存、CPU、磁盘 I/O 和网络带宽。
Docker资源控制cgroups
2301_77369997的博客
09-01 1075
Cgroup 是 ControlGroups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制,被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配控制等具体的资源管理是通过该功能来实现的。CFS默认的调度周期是100ms。创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为1/3和2/3。
Docker资源控制 CPU 内存 磁盘IO
低温热源的博客
07-20 868
Docker 通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。cgroup 资源限制 控制容器进程对 CPU 内存 磁盘IO 的使用量Cgroup 是 ControlGroups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制,被 LXC、docker 等很多项目用于实现进程资源控制
Docker资源控制的Cgroup参数使用
qq_28361541的博客
04-26 1268
一、Cgroup简介 Cgroup 是Control Groups的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如CPU、 内存、磁盘IO等等)的机制,被LXC、docker等很多项目用于实现进程资源控制。 Cgroups提供了以下功能: 1、限制进程组可以使用的资源数量(Resource limiting )。比如:memory子系统可以为进程...
docker资源控制cgroup
weixin_69148277的博客
06-10 1456
使用--cpu-period即可设置调度周期,使用--cpu-quota即可设置在每个周期内容器能使用的CPU时间。#创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为1/3和2/3。CFS周期的有效范围是1ms~1s, 对应的--cpu-period的数值范围是1000~1000000。容器的CPU 配额必须不小于1ms,即--cpu-quota 的值必须>= 1000。可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少CPU时间。
Docker网络及资源控制
fantuan_sss的博客
04-24 943
docker允许用户创建自己的定义的网络,用户可以定义的网络范围、子网、路由 等参数这种类型网络使用用户可以更好地对容器网络进行控住和隔离(生产业务需求;注:根据甲方指定或领导指定)。根据业务需求指定静态IP地址。(1)创建自定义网络​​。
docker容器资源配额控制详解
01-10
cgroup是Control Groups的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 cpu、memory、磁盘IO等等) 的机制,被LXC、docker等很多项目用于实现进程资源控制。cgroup将任意进程进行分组...
docker资源限制及应用总结1
08-03
Docker资源限制及应用总结】 Docker 是一个流行的开源平台,用于开发、打包和运行分布式应用程序。在生产环境中,为了确保系统稳定性和资源效率,对 Docker 容器进行资源限制至关重要。本篇文章主要探讨了Docker...
Docker Swarm 管理资源.rar
05-15
综上所述,Docker Swarm提供了强大的资源管理能力,包括服务编排、负载均衡、故障恢复、网络管理和安全控制等。通过熟练掌握这些知识点,你可以更有效地管理和优化Docker容器集群,实现高效的资源利用。
docker部署Java项目流程
09-30
Docker 仓库用来保存镜像,可以理解为代码控制中的代码仓库。Docker Hub (https://hub.docker.com) 提供了庞大的镜像集合供使用。一个 Docker Registry 中可以包含多个仓库(Repository);每个仓库可以包含多个标签...
docker Portainer
08-21
4. **添加访问控制**:为了保护你的 Docker 环境,你应该设置用户和角色,限制不同用户对资源的操作权限。 5. **使用插件**:根据需求,你可以安装和配置 Portainer 插件以增强其功能。 在实际应用中,Portainer ...
01-Docker-前提知识要求和课程简介
06-24
内容:包括Docker的安装、Dockerfile编写、Docker Compose与Docker Swarm集群管理、网络与存储配置、资源限制及跨平台部署等。 受众:面向对Docker技术感兴趣的开发者、运维人员及希望提升效率的项目经理。 通过本...
Docker监控实战
02-26
如今,越来越多的公司开始使用Docker了,现在来给大家看几组数据:2/3的公司在尝试了Docker后最终使用了它,也就是说Docker的转化率达到了67%,而且转化时长也控制在60天内。研究发现主机数量越多的公司,越早开始...
linux版本docker离线部署
05-30
总结起来,这个离线部署包提供了在没有互联网连接的Linux环境中安装和配置DockerDocker Compose和Portainer所需的所有资源。通过理解和利用这些文件,你可以构建一个完整的、自给自足的Docker环境,方便地管理和...
docker 镜像控制
03-27
3. 镜像的删除和清理:使用 docker rmi 命令删除不再需要的镜像,并使用 docker system prune 命令清理不再使用的资源。 4. 镜像的更新和版本控制:使用 Dockerfile 中的指令和标签来更新镜像,使用版本控制系统来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值