文章目录
Docker资源分配和安全通信TLS
一、概览
1、docker资源分配
Cgroup cpu,内存,i/o
为什么要做资源分配
容器-----------虚拟机 区别
虚拟机在创建的时候已经做了资源分配,(虚拟CPU,虚拟内存,虚拟磁盘等)
容器共享内核资源
2、安全通信
又叫TLS 主要用于生产环境
3、Cgroup资源配置方法
Docker通过Cgroup来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。
Cgroup是Control Groups的縮写,是Linux内核提供的一一种可以限制、记录、隔离进程组所使用的物理资源(如CPU.内存、磁盘10等等)的机制,被LXC, docker等很多项目用于实现进程资源控制。Cgroup本身是提供将进程进行分组化管理的功能和接口的基础结构,1/0或内存的分配控制等具体,这些具体的资源管理功能称为Cgroup子系统,有以下几大子系统实现:
- blkio:设置限制每个块设备的输入输出控制。例如:磁盘,光盘以及usb等等。
- CPU:用调度程序为cgroup任务提供CPU的访问。
- cpuacct:产生cgroup任务的CPU资源报告。
- cpuset:如果是多核心的CPU, 这个子系统会为cgroup任务分配单独的CPU和内存。
- devices:允许或拒绝cgroup任务对设备的访问。
- freezer:暂停和恢复cgroup任务。
- memory:设置每个cgroup的内存限制以及产生内存资源报告。
- net_cls:标记每个网络包以供cgroup方便使用。
- ns:命名空间子系统。
- perf_event:增加了对每个group的监测跟踪的能力,可以监测属于某个特定的group的所有线程以及运行在特定CPU上的线程。
4、关于密钥和证书
1、对称 DES、3DES、AES 长度不同 长度越长安全超高,解密速度越慢
2、非对称 RSA 公钥,私钥 公钥:所有人可知(锁) 私钥(钥匙)个人身份信息,不可抵赖。
3、证书:个人信息,密钥,有效期
4、ca:证书颁发机构 ca证书
密钥key—》身份签名csr—》(服务器/客户端)(结合ca.pem)制作证书pem
证书pem 发送给客户端,客户端验证就使用证书验证
二、实验
1、利用stress压力测试工具来测试CPU和内存使用状况
mkdir /opt/stress
vim /opt/stress/Dockerfile
FROM centos:7
MAINTAINER chen "chen@kgc.com"
RUN yum install y wget
RUN wget -0 /etc/yum.repos.d/epel.repo http://mirors.aliyun.com/repo/epel-7.repo
RUN yum install y stress
cd /opt/stress/
docker build -t centos:stress
docker run -itd --cpu-shares 100 centos:stress //创建窗口,命令中--cpu-shares参数值不能保证可以获得1个vcpu或者多少GHz的CPU资源,它仅是一个弹性的加权值。
说明:默认情况下,每个Docker容器的CPU份额都是1024.单独-个容器的份额是没有意义的。只有在同时运行多个容器时,容器的CPU加权的效果不同:
例如,两个容器A. B的CPU份额分别为1000和500, 在CPU进行时间片分配的时候,容器A比容器B多-倍的机会获得CPU的时间片。但分配的结果取决于当时主机和其他容器的运行状态, 实际上也无法保证容器A一定能获得CPU时间片。比如容器A的进程一直是空闲的,那么容器B是可以获取比容器A更多的CPU时间片的。极端情况下,例如主机上只运行了一个容器,即使它的CPU份额只有50,它也可以独占整个主机的CPU时间片。
Cgroups只在容器分配的资源紧缺时,即在需要对容器使用的资源进行限制时,才会生效。因此,无法单纯根据某个容器的CPU份额来确定有多少CPU资源,资源分配结果取决于同时运行的其他容器的CPU分配和容器中进程运行情况。可以通过cpu share可以设置容器使用CPU的优先级,比如启动了两个容器及运行查看CPU使用百分比。
docker run -itd --name cpu512 --cpu-shares 512 centos:stress stress -c 10 //容器产生10个子函数进程
docker exec -it f12324323333 bash //进入容器使用top查看cpu使用情况
//再开启一个容器做比较
docker run -tid --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10
docker exec -it 3543453434 bash //进容器使用top对比两个容器的%CPU,比例是1:2
2、CPU周期限制
Docker提供了–cpu-period, --cpu-quota 两个参数控制容器可以分配到的CPU时钟周期。
–cpu-period是用来指定容器对CPU的使用要在多长时间内做一次重新分配。
–cpu-quota是用来指定在这个周期内,最多可以有多少时间用来跑这个容器。
与–cpu-shares不同的是,这种配置是指定一个绝对值,容器对CPU资源的使用绝对不会超过配置的值。
cpu-period和cpu-quota的单位为微秒(μs)。cpu-period 的最小值为1000微秒,最大值为1 秒(10^6μs),默认值为0.1秒(100000 μs),cpu-quota的值默认为-1,表示不做控制。cpu-period 和cpu-quota参数一般联合使用。
例如:容器进程需要每1秒使用单个CPU的0.2秒时间,可以将cpu-period设置为1000000 (即1秒),cpu-quota设置为200000 (0.2 秒)。当然,在多核情况下,如果允许容器进程完全占用两个CPU,则可以将cpu-period设置为100000 (即0.1秒),cpu-quota 设置为200000 (0.2秒)
docker run -tid --cpu-period 100000 --cpu-quota 200000 centos:stress
docker exec -it 98d2aaa50019 bash
cat /sys/fs/cgroup/cpu/cpu.cfs_period_us
10000
cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us
200000
3、CPU Core控制
对多核CPU的服务器,Docker还可以控制容器运行使用哪些CPU内核,即使用–cpuset-cpus参数。
这对具有多CPU的服务器尤其有用,可以对需要高性能计算的容器进行性能最优的配置。
docker run -tid --name cpu1 --cpuset-cpus 0-1 centos:stress
//执行以上命令需要宿主机为双核,表示创建的容器只能用0、1两个内核。最终生成的cgroup的CPU内核配置如下:
docker exec -it 631eea630b21 bash
cat /sys/fs/cgroup/qpuset/cpuset.cpus
0-1
//通过下面指令可以看到容器中进程与CPU内核的绑定关系,达到绑定CPU内核的目的。
docker exec 631eea630b21 taskset -c -p 1 //容器内部第- 个进程号pid为1被绑定到指定CPU上运行
pid 1's current affinity list: 0,1
4、CPU配额控制参数的混合使用
通过cpuset-cpus参数指定容器A使用CPU内核0,容器B只是用CPU内核1.
在主机上只有这两个容器使用对应CPU内核的情况,它们各自占用全部的内核资源,cpu-shares 没有明显效果。
cpuset-cpus, cpuset-mems参数只在多核。多内存节点上的服务器上有效,井且必须与实际的物理配置匹配,否则也无法达到资源控制的目的。
在系统具有多个CPU内核的情况下,需要通过cpuset-cpus参数为设置容器CPU内核才能方便地进行测试。
//宿主系统修改为4核心CPU
docker run -tid --name cpu3 --cpuset-cpus 1 --cpu-shares 512 centos:stress stress -c 1
docker exec -it 84598dfadd34 bash
stress -c 10
exit
//另开一个终端,必须关闭其它已经up的容器
top
1
总结:上面的centos:stress镜像安装了stress工具,用来测试CPU和内存的负载。通过在两个容器上分别执行stress -c 1命令,将会给系统一 个随机负载,产生1个进程。这个进程都反复不停的计算由rand()产生随机数的平方根,直到资源耗尽。观察到宿主机上的CPU使用率,第三个内核的使用率接近100%, 并且一批进程的CPU使用率明显存在2:1的使用比例的对比。
5、内存限额
与操作系统类似,容器可使用的内存包括两部分:物理内存和Swap。
Docker通过下面两组参数来控制容器内存的使用量。
-m或–memory: 设置内存的使用限额,例如100M、1024M。
–memory- swap: 设置内存+ swap的使用限额。
执行如下命令允许该容器最多使用200M的内存和300M的swap。
docker run -it -m 200M -- memory-swap=300M progrium/stress --vm 1 --vm-bytes 280M
--vm 1:启动1个内存工作线程。
--v-m-bytes 280M:每个线程分配280M内存。
默认情况下,容器可以使用主机上的所有空闲内存。
与CPU的cgroups配置类似, Docker会自动为容器在目录/sys/fs/cgroup/memory/docker/<容器的完整长ID>
中创建相应cgroup配置文件
如果让工作线程分配的内存超过300M,分配的内存超过限额,stress 线程报错,容器退出。
docker run -it -m 200M -- memory-swap= 300M progrium/stress --vm 1 --vm-bytes 310M
6、Block IO的限制
默认情况下,所有容器能平等地读写磁盘,可以通过设置–blkio-weight参数来改变容器block I0的优先级。
–blkio-weight与–cpu-shares类似,设置的是相对权重值,默认为500。
在下面的例子中,容器A读写磁盘的带宽是容器B的两倍。
docker run -it --name container_A --blkio-weight 600 centos:stress
cat /sys/fs/cgroup/blkio/blkio.weight
600
docker run -it --name container_B --blkio-weight 300 centos:stress
cat /sys/fs/cgroup/blkio/blkio.weight
300
7、bps和iops的限制
bps是byte per second, 每秒读写的数据量。
iops是io per second, 每秒IO的次数。
可通过以下参数控制容器的bps和iops:
–device-read-bps, 限制读某个设备的bps。
–device-write-bps, 限制写某个设备的bps。
–device-read-iops, 限制读某个设备的iops。
–device-write-iops, 限制写某个设备的iops。
下面的示例是限制容器写/dev/sda的速率为5 MB/s。
docker run -it --device-write-bps /dev/sda:5MB centos:stress
dd if=/dev/zero of=test bs= 1M count= 1024 oflag=direct //可以按ctrl+ c中断查看
906+0 records in
906+ 0 records out
950009856 bytes (950 MB) copied, 181.202 s, 5.2 MB/s
docker run -it centos:stress
dd if=/dev/zero of=test bs-1M count=1024 oflag=direct //无需等待立刻完成
8、Docker-TLS加密通讯
为了防止链路劫持、会话劫持等问题导致Docker通信时被中间人攻击,c/s两端应该通过加密方式通讯。
mkdir /tls
cd /tls
hostnamectl set-hostname master
su
vim /etc/hosts //修改内容如下所示
127.0.0.1 master
//创建ca密钥
openssI genrsa -aes256 -out ca-key.pem 4096 //输入123123
//创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=\*" -out ca.pem //输入123123
//创建服务器私钥
openssI genrsa -out server-key.pem 4096
//签名私钥
openssI req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca证书与私钥证书签名,输入123123
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
//生成客户端密钥
openssl genrsa -out key.pem 4096
//签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//创建配置文件
echo extendedKeyUsage= clientAuth > extfile.cnf
//签名证书,输入123123,需要(签名客户端,ca证书,ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
//删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr
//配置docker
vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlscacert=/opt/tls/ca.pem --tlscert=/opt/tls/cert.pem --tlskey=/opt/tls/key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
//重启进程
systemctl daemon-reload
//重启docker服务
systemctl restart docker
//将/tls/ca.pem /tls/cert.pem /tls/key.pem三个文件复制到另一台主机
scp ca.pem root@192.168.150.129:/etc/docker/
scp cert.pem root@192.1 68.150.129:/etc/docker/
scp key.pem root@192.1 68.150.129:/etc/docker/
//本地验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey= key.pem -H tcp://master:2376 version
docker pull nginx
//client上操作
vim /etc/hosts
192.168.150.128 master
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version