Docker资源控制

---

一、docker资源控制

1、资源控制工具

Docker 通过 Cgroup 来控制容器使用的资源配额，包括 CPU、内存、磁盘三大方面， 基本覆盖了常见的资源配额和使用量控制。
Cgroup 是 ControlGroups 的缩写，是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制，被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构，I/O 或内存的分配控制等具体的资源管理是通过该功能来实现的。

2、Cgroups四大功能

资源限制：可以对任务使用的资源总额进行限制

优先级分配：通过分配的cpu时间片数量以及磁盘IO带宽大小，实际上相当于控制了任务运行优先级

资源统计：可以统计系统的资源使用量，如cpu时长，内存用量等

任务控制：cgroup可以对任务执行挂起、恢复等操作

二、CPU 资源控制

1、设置CPU使用率上限

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。CFS默认的调度周期是100ms。

CPU周期：指的是CFS调度CPU遍历处理一次容器所有的进程时长，默认是0.1s。设置范围为1ms~1s

Cgroups限制时间：使用cpu.cfs_quota_us 即可设置在每个周期内容器能使用的CPU的时长，默认是-1即不限制。

CPU利用率：Cgroups限制时间/CPU周期，默认Cgroups是-1而CPU周期为0.1s表示用满CPU

查看CPU默认配置：

2、CPU压力测试

docker run -itd --name c1  soscscs/myapp:v1
docker ps -a 
#查看docker容器id
docker exec -it 容器唯一id/容器名 sh
#进入容器中
vi test.sh
#!/bin/sh
i=0
while true
do
let i++
done
#编辑脚本
chmod +x /test.sh
#添加执行权限
./test.sh
#执行脚本
新开一个shell脚本
top查看cpu占用率，按1查看使用的那个cpu

3、Cgroups限制cpu使用率

4、设置CPU资源占用比（设置多个容器时才有效）

Docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数。
创建两个容器为 c1 和 c2，若只有这两个容器，设置容器的权重，使得c1和c2的CPU资源占比为1/3和2/3。

docker run -itd --name c1 --cpu-shares 1024 centos:7
docker run -itd --name c2 --cpu-shares 2048 centos:7

分别进入容器，进行压力测试

yum install -y epel-release
yum install -y stress
stress -c 4				#产生四个进程，每个进程都反复不停的计算随机数的平方根

可以看到在 CPU 进行时间片分配的时候，容器 c2 比容器 c1 多一倍的机会获得 CPU 的时间片。
但分配的结果取决于当时主机和其他容器的运行状态， 实际上也无法保证容器 c1 一定能获得 CPU 时间片。比如容器 c1 的进程一直是空闲的，那么容器 c2 是可以获取比容器 c1 更多的 CPU 时间片的。极端情况下，例如主机上只运行了一个容器，即使它的 CPU 份额只有 50，它也可以独占整个主机的 CPU 资源。

Cgroups 只在容器分配的资源紧缺时，即在需要对容器使用的资源进行限制时，才会生效。因此，无法单纯根据某个容器的 CPU 份额来确定有多少 CPU 资源分配给它，资源分配结果取决于同时运行的其他容器的 CPU 分配和容器中进程运行情况。

5、设置容器绑定指定的CPU

#查看cpu
lscpu 

#先分配虚拟机CPU核数
docker run -itd --name c3 --cpuset-cpus 1 centos:7

#进入容器，进行压力测试
yum install -y epel-release
yum install stress -y
stress -c 4

退出容器，执行 top 命令再按 1 查看CPU使用情况。

三、对内存使用的限制

-m(--memory=) 选项用于限制容器可以使用的最大内存

docker stats

docker run -itd --name c4 -m 512m soscscs/myapp:v1

限制可用的 swap 大小， --memory-swap
强调一下，–memory-swap 是必须要与 --memory 一起使用的。

正常情况下，–memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为：容器可以使用 300M 的物理内存，并且可以使用 700M（1G - 300）的 swap。

如果 --memory-swap 设置为 0 或者 不设置，则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同，则容器不能使用 swap。
如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）。

四、对磁盘IO配额控制（blkio）的限制

--device-read-bps：限制某个设备上的读速度bps（数据量），单位可以是kb、mb(M)或者gb。

docker run -itd --name test9 --device-read-bps /dev/sda:1M  centos:7 /bin/bash

--device-write-bps ： 限制某个设备上的写速度bps（数据量），单位可以是kb、mb(M)或者gb。

docker run -itd --name c2 --device-write-bps /dev/sda:1M centos:7
docker exec -it c2 bash
dd if=/dev/zero of=./text.txt bs=1M count=10 oflag=direct

--device-read-iops ：限制读某个设备的iops（次数）

--device-write-iops ：限制写入某个设备的iops（次数）

docker run -itd --name c5 --device-write-bps /dev/sda:1M soscscs/myapp:v1