Docker资源分配和安全通信TLS

Docker资源分配和安全通信TLS

一、概览

1、docker资源分配

Cgroup cpu，内存，i/o

为什么要做资源分配

容器-----------虚拟机 区别

虚拟机在创建的时候已经做了资源分配，（虚拟CPU，虚拟内存，虚拟磁盘等）

容器共享内核资源

2、安全通信

又叫TLS 主要用于生产环境

3、Cgroup资源配置方法

Docker通过Cgroup来控制容器使用的资源配额，包括CPU、内存、磁盘三大方面，基本覆盖了常见的资源配额和使用量控制。

Cgroup是Control Groups的縮写，是Linux内核提供的一一种可以限制、记录、隔离进程组所使用的物理资源(如CPU.内存、磁盘10等等)的机制，被LXC, docker等很多项目用于实现进程资源控制。Cgroup本身是提供将进程进行分组化管理的功能和接口的基础结构，1/0或内存的分配控制等具体，这些具体的资源管理功能称为Cgroup子系统，有以下几大子系统实现：

• blkio：设置限制每个块设备的输入输出控制。例如:磁盘，光盘以及usb等等。
• CPU：用调度程序为cgroup任务提供CPU的访问。
• cpuacct：产生cgroup任务的CPU资源报告。
• cpuset：如果是多核心的CPU, 这个子系统会为cgroup任务分配单独的CPU和内存。
• devices：允许或拒绝cgroup任务对设备的访问。
• freezer：暂停和恢复cgroup任务。
• memory：设置每个cgroup的内存限制以及产生内存资源报告。
• net_cls：标记每个网络包以供cgroup方便使用。
• ns：命名空间子系统。
• perf_event：增加了对每个group的监测跟踪的能力，可以监测属于某个特定的group的所有线程以及运行在特定CPU上的线程。

4、关于密钥和证书

1、对称 DES、3DES、AES 长度不同 长度越长安全超高，解密速度越慢

2、非对称 RSA 公钥，私钥 公钥：所有人可知（锁） 私钥（钥匙）个人身份信息，不可抵赖。

3、证书：个人信息，密钥，有效期

4、ca：证书颁发机构 ca证书

密钥key—》身份签名csr—》（服务器/客户端）（结合ca.pem）制作证书pem

证书pem 发送给客户端，客户端验证就使用证书验证

二、实验

1、利用stress压力测试工具来测试CPU和内存使用状况

mkdir /opt/stress

vim /opt/stress/Dockerfile

FROM centos:7
MAINTAINER chen "chen@kgc.com"
RUN yum install y wget
RUN wget -0 /etc/yum.repos.d/epel.repo http://mirors.aliyun.com/repo/epel-7.repo
RUN yum install y stress

cd /opt/stress/

docker build -t centos:stress

docker run -itd --cpu-shares 100 centos:stress           //创建窗口，命令中--cpu-shares参数值不能保证可以获得1个vcpu或者多少GHz的CPU资源，它仅是一个弹性的加权值。

说明:默认情况下，每个Docker容器的CPU份额都是1024.单独-个容器的份额是没有意义的。只有在同时运行多个容器时，容器的CPU加权的效果不同:
例如，两个容器A. B的CPU份额分别为1000和500, 在CPU进行时间片分配的时候，容器A比容器B多-倍的机会获得CPU的时间片。但分配的结果取决于当时主机和其他容器的运行状态， 实际上也无法保证容器A一定能获得CPU时间片。比如容器A的进程一直是空闲的，那么容器B是可以获取比容器A更多的CPU时间片的。极端情况下，例如主机上只运行了一个容器，即使它的CPU份额只有50,它也可以独占整个主机的CPU时间片。

Cgroups只在容器分配的资源紧缺时，即在需要对容器使用的资源进行限制时，才会生效。因此，无法单纯根据某个容器的CPU份额来确定有多少CPU资源，资源分配结果取决于同时运行的其他容器的CPU分配和容器中进程运行情况。可以通过cpu share可以设置容器使用CPU的优先级，比如启动了两个容器及运行查看CPU使用百分比。

docker run -itd --name cpu512 --cpu-shares 512 centos:stress  stress -c 10     //容器产生10个子函数进程

docker exec -it f12324323333 bash    //进入容器使用top查看cpu使用情况



//再开启一个容器做比较

docker run -tid --name cpu1024 --cpu-shares 1024 centos:stress  stress -c 10

docker exec -it 3543453434 bash    //进容器使用top对比两个容器的%CPU，比例是1：2

2、CPU周期限制

Docker提供了–cpu-period, --cpu-quota 两个参数控制容器可以分配到的CPU时钟周期。
–cpu-period是用来指定容器对CPU的使用要在多长时间内做一次重新分配。

–cpu-quota是用来指定在这个周期内，最多可以有多少时间用来跑这个容器。
与–cpu-shares不同的是，这种配置是指定一个绝对值，容器对CPU资源的使用绝对不会超过配置的值。

cpu-period和cpu-quota的单位为微秒(μs)。cpu-period 的最小值为1000微秒，最大值为1 秒(10^6μs)，默认值为0.1秒(100000 μs)，cpu-quota的值默认为-1，表示不做控制。cpu-period 和cpu-quota参数一般联合使用。

例如：容器进程需要每1秒使用单个CPU的0.2秒时间，可以将cpu-period设置为1000000 (即1秒)，cpu-quota设置为200000 (0.2 秒)。当然，在多核情况下，如果允许容器进程完全占用两个CPU，则可以将cpu-period设置为100000 (即0.1秒)，cpu-quota 设置为200000 (0.2秒）

docker run -tid --cpu-period 100000 --cpu-quota 200000 centos:stress

docker exec -it 98d2aaa50019 bash

cat /sys/fs/cgroup/cpu/cpu.cfs_period_us
10000
cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us
200000

3、CPU Core控制

对多核CPU的服务器，Docker还可以控制容器运行使用哪些CPU内核，即使用–cpuset-cpus参数。
这对具有多CPU的服务器尤其有用，可以对需要高性能计算的容器进行性能最优的配置。

docker run -tid --name cpu1 --cpuset-cpus 0-1 centos:stress
//执行以上命令需要宿主机为双核，表示创建的容器只能用0、1两个内核。最终生成的cgroup的CPU内核配置如下:

docker exec -it 631eea630b21 bash
cat /sys/fs/cgroup/qpuset/cpuset.cpus
0-1

//通过下面指令可以看到容器中进程与CPU内核的绑定关系，达到绑定CPU内核的目的。
docker exec 631eea630b21 taskset -c  -p 1             //容器内部第- 个进程号pid为1被绑定到指定CPU上运行
pid 1's current affinity list: 0,1

4、CPU配额控制参数的混合使用

通过cpuset-cpus参数指定容器A使用CPU内核0，容器B只是用CPU内核1.
在主机上只有这两个容器使用对应CPU内核的情况，它们各自占用全部的内核资源，cpu-shares 没有明显效果。

cpuset-cpus, cpuset-mems参数只在多核。多内存节点上的服务器上有效，井且必须与实际的物理配置匹配，否则也无法达到资源控制的目的。

在系统具有多个CPU内核的情况下，需要通过cpuset-cpus参数为设置容器CPU内核才能方便地进行测试。

//宿主系统修改为4核心CPU
docker run -tid --name cpu3 --cpuset-cpus 1 --cpu-shares 512 centos:stress stress -c 1

docker exec -it 84598dfadd34 bash

stress -c 10

exit

//另开一个终端，必须关闭其它已经up的容器

top

1

总结:上面的centos:stress镜像安装了stress工具，用来测试CPU和内存的负载。通过在两个容器上分别执行stress -c 1命令，将会给系统一 个随机负载，产生1个进程。这个进程都反复不停的计算由rand()产生随机数的平方根，直到资源耗尽。观察到宿主机上的CPU使用率，第三个内核的使用率接近100%， 并且一批进程的CPU使用率明显存在2:1的使用比例的对比。

5、内存限额

与操作系统类似，容器可使用的内存包括两部分:物理内存和Swap。
Docker通过下面两组参数来控制容器内存的使用量。

-m或–memory: 设置内存的使用限额，例如100M、1024M。
–memory- swap: 设置内存+ swap的使用限额。
执行如下命令允许该容器最多使用200M的内存和300M的swap。

docker run -it -m 200M -- memory-swap=300M progrium/stress --vm 1 --vm-bytes 280M
--vm 1:启动1个内存工作线程。
--v-m-bytes 280M:每个线程分配280M内存。
默认情况下，容器可以使用主机上的所有空闲内存。
与CPU的cgroups配置类似， Docker会自动为容器在目录/sys/fs/cgroup/memory/docker/<容器的完整长ID>
中创建相应cgroup配置文件

如果让工作线程分配的内存超过300M,分配的内存超过限额，stress 线程报错，容器退出。
docker run -it -m 200M -- memory-swap= 300M progrium/stress --vm 1 --vm-bytes 310M

6、Block IO的限制

默认情况下，所有容器能平等地读写磁盘，可以通过设置–blkio-weight参数来改变容器block I0的优先级。
–blkio-weight与–cpu-shares类似，设置的是相对权重值，默认为500。
在下面的例子中，容器A读写磁盘的带宽是容器B的两倍。

docker run -it --name container_A  --blkio-weight 600 centos:stress
cat /sys/fs/cgroup/blkio/blkio.weight
600

docker run -it --name container_B --blkio-weight 300 centos:stress
cat /sys/fs/cgroup/blkio/blkio.weight
300

7、bps和iops的限制

bps是byte per second, 每秒读写的数据量。
iops是io per second, 每秒IO的次数。
可通过以下参数控制容器的bps和iops:

–device-read-bps, 限制读某个设备的bps。
–device-write-bps, 限制写某个设备的bps。
–device-read-iops, 限制读某个设备的iops。
–device-write-iops, 限制写某个设备的iops。

下面的示例是限制容器写/dev/sda的速率为5 MB/s。

docker run -it --device-write-bps /dev/sda:5MB centos:stress

dd if=/dev/zero of=test bs= 1M count= 1024 oflag=direct     //可以按ctrl+ c中断查看
906+0 records in
906+ 0 records out
950009856 bytes (950 MB) copied, 181.202 s, 5.2 MB/s

docker run -it centos:stress

dd if=/dev/zero of=test bs-1M count=1024 oflag=direct       //无需等待立刻完成

8、Docker-TLS加密通讯

为了防止链路劫持、会话劫持等问题导致Docker通信时被中间人攻击，c/s两端应该通过加密方式通讯。

mkdir /tls
cd /tls

hostnamectl set-hostname master
su

vim /etc/hosts            //修改内容如下所示

127.0.0.1 master

//创建ca密钥
openssI genrsa -aes256 -out ca-key.pem 4096          //输入123123

//创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=\*"  -out ca.pem //输入123123

//创建服务器私钥
openssI genrsa -out server-key.pem 4096

//签名私钥
openssI req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

//使用ca证书与私钥证书签名,输入123123
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

//生成客户端密钥
openssl genrsa -out key.pem 4096

//签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr

//创建配置文件
echo extendedKeyUsage= clientAuth > extfile.cnf

//签名证书，输入123123,需要(签名客户端，ca证书，ca密钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

//删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr

//配置docker
vim /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --tlscacert=/opt/tls/ca.pem --tlscert=/opt/tls/cert.pem --tlskey=/opt/tls/key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

//重启进程
systemctl daemon-reload

//重启docker服务
systemctl restart docker

//将/tls/ca.pem /tls/cert.pem /tls/key.pem三个文件复制到另一台主机
scp ca.pem root@192.168.150.129:/etc/docker/
scp cert.pem root@192.1 68.150.129:/etc/docker/
scp key.pem root@192.1 68.150.129:/etc/docker/

//本地验证
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey= key.pem -H tcp://master:2376 version
docker pull nginx

//client上操作
vim /etc/hosts
192.168.150.128 master
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version