Docker——2——Docker的底层原理/资源限制

最新推荐文章于 2023-04-04 00:06:21 发布
最新推荐文章于 2023-04-04 00:06:21 发布
阅读量698 收藏 5
点赞数 1
分类专栏: 虚拟化 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45373345/article/details/108222783
版权

Docker容器底层原理

如果虚拟机内服务对内核版本有要求(如:需用到低于3.10的内核版本),这个服务就不太适合用docker来实现了,因为docker只适合内核版本大于3.10的系统上

Busybox:欺骗层(模拟不同系统的根目录)

耦合:冲突现象(例如:部署两台Nginx)

解耦:解除耦合、冲突

解耦的方法:

  • 普通虚拟化:完全型解耦
  • Docker:半解耦

在这里插入图片描述

图解:
中间的小人代表的是普通的用户,下边是电脑底层组成(宿主机),在硬件的基础之上在部署系统。我们用户、管理员通过shell终端和计算机进行交互,系统在去调用所需要的驱动程序、函数……,函数在去调动设备文件,最后返回给用户,这是单个程序的一个流程。
如果想在服务器上部署两个Nginx服务,两个Nginx都会占用80端口,怎么办?——往下看

  • 普通虚拟化-完全型解耦:
    可以通过虚拟化(VMware、KVM)的手段来解决,正上图左上所示,模拟出所需的硬件资源(CPU、MEM、DISK……)上运行,以防两 Nginx 的相互冲突,互不影响,但是对资源的消耗太浪费啦(如:1G内存、1个cpu、*磁盘),如果你的电脑8G内存的话,最多也就能开4~5台虚拟机,本机还需要留一定的空间。这就是完全虚拟化也叫完全解耦。
  • Docker-半解耦:
    理念:两个Nginx相互隔离开,两台Nginx如果需要解耦,就去解耦,如果不需要就不解耦,例如kernel就不需要解耦,docker直接去调用宿主机的kernel,这也就是在仓库下载的 centos:7 镜像只有200多M的原因啦。没有冲突的地方直接调用宿主机的资源(例如:CPU、MEM、DISK、yum源……),到底隔离了什么哪?——>Namespace了解详情。容器直接调用宿主机的资源也就意味着单台故障可能占用整个宿主机的资源,可以通过资源的限制来控制。

Namespace(名称空间)

原理:逻辑空间——> 隔离
作用:用来隔离容器
/proc /sys : 虚拟文件系统。 伪目录文件 ——> 内存

[root@docker01 ns]# pwd
/proc/1899/ns

在这里插入图片描述

namespace六项隔离,实现了容器与宿主机、容器与容器之间的隔离

  • IPC:共享内存、消息列队
  • MNT:挂载点、文件系统
  • NET:网络栈
  • PID:进程编号
  • USER:用户、组
  • UTS:主机名、域名

Cgroup(控制组)

作用: 限制docker容器对宿主机资源的使用

[root@docker01 ~]# cat /sys/fs/cgroup/cpu/tasks 
1
2
3
6
7
……

PS:tasks这个文件内的数字,记录的是进程编号。PID权重比

四大功能:

  • 1) 资源限制:cgroup可以对进程组使用的资源总额进行限制。
  • 2)优先级分配:通过分配的cpu时间片数量以及硬盘IO带宽大小,实际上相当于控制了进程运行的优先级别。
  • 3) 资源统计:cgroup可以统计系统资源使用量,比如cpu使用时间,内存使用量等,用于按量计费。同时,还支持挂起动能,也就是说通过 cgroup把所有资源限制起来,对资源都不能使用,注意着并不是说我们的程序不能使用了,只是不能使用资源,处于等待状态。
  • 4) 进程控制:可以对进程组执行挂起、恢复等操作。

内存限制

容器内存包括两个部分:物理内存和swap

可以通过参数控制容器内存的使用量:

  • -m 或者–memory:设置内存的使用限额
  • –memory-swap:设置内存+ swap的使用限额

举个栗子:运行一个容器,并且限制该容器最多使用200M内存和100M的swap

[root@docker01 ~]# docker run -itd --name container1 -m 200MB --memory-swap 300MB centos:7
f83fc684cc1dba7dd5084f813b2d1b1f8554b312741c8b9f250711ad27fbe224
[root@docker01 ~]# cat /sys/fs/cgroup/memory/docker/f83fc684cc1dba7dd5084f813b2d1b1f8554b312741c8b9f250711ad27fbe224/memory.limit_in_bytes 
209715200
#内存+swap限制
[root@docker01 ~]# cat /sys/fs/cgroup/memory/docker/f83fc684cc1dba7dd5084f813b2d1b1f8554b312741c8b9f250711ad27fbe224/memory.memsw.limit_in_bytes
314572800

————————————对比一个没有限制的容器,可以发现,如果运行容器不限制内存的话,意味着没有限制————————————

[root@docker01 ~]# docker run -itd --name container centos:7
c5a75c4ac125a84c86f26e8481a3452937d11d8fd84274bc830c1e067449cac6
[root@docker01 ~]# cat /sys/fs/cgroup/memory/docker/c5a75c4ac125a84c86f26e8481a3452937d11d8fd84274bc830c1e067449cac6/memory.limit_in_bytes 
9223372036854771712
#内存+swap限制
[root@docker01 ~]# cat /sys/fs/cgroup/memory/docker/c5a75c4ac125a84c86f26e8481a3452937d11d8fd84274bc830c1e067449cac6/memory.memsw.limit_in_bytes 
9223372036854771712

注释:docker run:运行容器、-i:可交互、-t:伪终端、-d:后台运行、–name容器命名

CPU使用限制

  • 通过-c或者–cpu-shares设置容器使用cpu的权重。(不设置默认为1024)

举个栗子:

[root@docker01 ~]# docker run -itd --name container centos:7
c5a75c4ac125a84c86f26e8481a3452937d11d8fd84274bc830c1e067449cac6
[root@docker01 ~]# cat /sys/fs/cgroup/cpu/docker/3b12aa22fad9380c4b265bd4364914fe06437c21eae577e9f9158001ff86872a/cpu.shares 
512

——————————————————对比一个没有做CPU权重限制的容器——————————————————

#这里还是使用上边创建的容器container(默认创建,没有任何限制)
[root@docker01 ~]# cat /sys/fs/cgroup/cpu/docker/c5a75c4ac125a84c86f26e8481a3452937d11d8fd84274bc830c1e067449cac6/cpu.shares 
1024

容器的Block IO

磁盘的读写

docker中可以通过设置权重,限制bps和iops的方式控制容器读写磁盘的IO

  • bps:每秒读写的数据量 byte per second。
  • iops:每秒IO的次数 io per second。

默认情况下,所有容器都能够平等的读写磁盘,也可以通过–blkio-weight参数改变容器的blockIO 的优先级

  • –device-read-bps: 显示读取某个设备的bps。 #首部双杠
  • –device-write-bps: 显示写入某个设备的bps。 #首部双杠
  • –device-read-iops: 显示读取某个设备的iops。 #首部双杠
  • –device-write-iops: 显示写入某个设备的iops。 #首部双杠

举个栗子:限制 container3 这个容器,写入/dev/sda这块磁盘的bps为30MB

[root@docker01 ~]# docker run -itd --name container3 --device-write-bps /dev/sda:30MB centos:7 
67ee3d126806c70f0e82e31b9f69aef79a6ad38a3f5b580faa8b1b6a3bd0c817

从/dev/zero输入,然后输出到test.out文件中,每次大小为100M,总共8次,oflag=direct 用来指定directIO方式写文件,这样才会使–device-write-bps生效

[root@docker01 ~]# docker exec -it container3 /bin/bash
[root@67ee3d126806 /]# time dd if=/dev/zero of=test.out bs=100M count=8 oflag=direct
8+0 records in
8+0 records out
838860800 bytes (839 MB) copied, 27.2005 s, 30.8 MB/s
real	0m27.202s
user	0m0.001s
sys	0m0.702s

——————————————————再运行一个没有做限制的 container 容器,对比一下速率——————————————————

#这里还是使用上边创建的容器container(默认创建,没有任何限制)
[root@docker01 ~]# docker exec -it container /bin/bash
[root@c5a75c4ac125 /]# time dd if=/dev/zero of=test.out bs=100M count=8 oflag=direct
8+0 records in
8+0 records out
838860800 bytes (839 MB) copied, 3.13828 s, 267 MB/s
real	0m3.140s
user	0m0.000s
sys	0m0.627s
KFC质检员
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Docker cpu限制分析
01-10
本文测试了,Docker容器限制cpu资源使用的几个配置参数。分别使用top和dstat命令分析了资源占有情况。 package main import ( flag runtime fmt ) func main() { cpunum := flag.Int(cpunum, 0, cpunum) flag.Parse() fmt.Println(cpunum:, *cpunum) runtime.GOMAXPROCS(*cpunum) for i := 0; i < *cpunum - 1; i++ { go func() {
大数据实验报告,Hadoop安装与配置,Docker
最新发布
12-31
这里创建了三个容器——`bgsvr0`、`bgsvr1`和`bgsvr2`,每个容器都被分配了静态IP地址,并连接到`bgnet`网络。共享卷`bgsysvol`被挂载在这些容器上,以实现Hadoop文件系统的跨容器访问。容器启动后,可以通过登录到...
容器底层实现技术
weixin_39627083的博客
02-19 305
1.1 Namespace 和 Cgroups 1.1.1 Namespace 步骤 1 运行一个 centos 容器,并设置容器的 hostname=hwhost。 [root@k8s-master ~]# docker run -h hwhost -it centos [root@hwhost /]# 步骤 2 在容器中添加一个用户 hwusera。 [root@hwhost /]# useradd hwusera [root@hwhost /]# su hwusera [hwus..
Docker Cgroups——Docker 资源限制背后的技术原理
RayPick的博客
03-31 4240
但是 Linux Cgroups 对资源限制最大的问题还是限制不彻底,Linux 下的 /proc 路径下存储着当前内核运行状态的一系列特殊文件,用户可以通过访问这些文件来查看系统信息,它们也是 top 查看 CPU 占用的数据来源。代表在每 100ms 的时间里,被 9226c3249105f42d04b433baa134af9bb10891de2df72fe2edfc6f2bb0a41fb2 控制组限制的进程只能使用 20ms 的 CPU 时间,也就是这个进程最多只能使用 20% 的 CPU 带宽
Docker原理限制篇 ---CGroups资源限制
Jung_zhang的专栏
06-04 1338
CGroups的全称叫做 control groups,是由Google首创,并被合入Linux内核的一种资源限制机制。使用CGroups可以将一系列任务极其子任务整个到资源划分等级不同的组内,从而管理系统资源。通俗讲,CGroups可以限制和记录任务组所使用的物理资源(包括CPU、Memory、IO等)。 CGroups对外以伪文件系统的方式提供API,用户态程序可以操作对应的文件以达到对CGroups的控制,其对于操作的单元可以细粒度到线程级别。.........
Docker 底层技术
RAB
05-12 894
cgroup、namespace。
成神之路思维导图——Hollis.zip
03-05
"Java工程师成神之路2020版——底层篇.png"深入到Java的底层实现,可能涵盖JVM原理、类加载机制、字节码操作、编译原理、以及如何通过JNI(Java Native Interface)与C/C++进行交互。 最后,"Java工程师成神之路...
2021年最新Java后端学习路线,适用于所有想要踏入Java行业的初学者(csdn)————程序.pdf
12-01
接着,你需要熟悉Java集合框架,包括ArrayList、LinkedList、HashMap等,并了解其底层实现原理。多线程编程是并发处理的核心,学习线程的创建、同步机制、线程池等知识将让你更好地处理高并发场景。 在项目管理工具...
4_HCNA-Cloud_云计算硬件系统介绍(杨文斌_2015.11.05)
03-13
《云计算硬件系统介绍》是由杨文斌专家在2015年11月5日进行的一次讲座,主要探讨了HCNA-Cloud认证中的一个重要环节——云计算硬件系统的基础知识。这个讲座的内容对于理解和掌握云计算技术的底层架构至关重要,特别...
Docker容器技术原理(二)限制
傅红雪的专栏
04-20 354
前言 在上一篇文章中我已经介绍了 Linux 容器实现隔离的手段 – Namespace。Namespace 技术实际上修改了应用进程看待整个计算机视图,即它的视线被操作系统做了限制,只能看到某些指定的内容。但其实对宿主机来说,这些隔离了的进程与其他进程并无多大区别。 在介绍完隔离技术后,我们再来介绍一下容器限制技术。 Linux Cgroups 也许你会问,我们不是通过 Linux Namespace 创建了一个容器了嘛,为什么还是需要对容器限制呢? 我们可以这么想,虽然容器内的第 1 号进
Docker容器底层资源限制与隔离
开摆工作室(kbai.cc)
04-04 207
Docker容器底层资源限制与隔离
docker08(资源限制)
weixin_47678667的博客
11-04 192
docker08(资源限制) 一.引子 上一篇我们提到了docker的写时复制的内容。主要是通过volume(卷)来进行管理。今天我们将要去了解docker资源限制,为什么要做资源限制呢?就跟我们分系统盘一样,按需按量供给。如果不约束,那么一个docker容器使用的资源将无限被使用。那么系统将非常卡顿,甚至可能出发oome(Out Of Memory Exception)机制,随机杀死重要进程去释放内存。 二.docker资源限制原理 (一).OOME机制 在Linux主机上,如果内核检测到没有足够的内
容器核心技术之----------底层技术
啸月兲狼的博客
02-22 623
cgroup(实现资源限制) cgroup全称control group。linux操作系统通过cgroup可以设置进程使用CPU、内存和IO资源限制。--cpu-shares、-m、--device-write-bps实际上就是在配置cgroup。 在/sys/fs/cgroup/cpu/docker目录中,linux会为每个容器创建一个cgroup目录,以容器的长ID命名的目录中包含...
docker底层实现
Yonx
08-20 351
一、docker架构 Docker 采用了 C/S架构,包括客户端和服务端。 Docker daemon 作为服务端接受来自客户的请求,并处理这些请求(创建、运行、分发容器)。 客户端和服务端既可以运行在一个机器上,也可通过 socket 或者 RESTful API 来进行通信。 docker基本机构 Docker daemon 一般在宿主机后台运行,等待接收来自客户端的消息。 Docker 客户端则为用户提供一系列可执行命令,用户用这些命令实现跟 Docker daemon 交互。 Dock
Docker原理,竟然这么简单!
m0_50180963的博客
01-30 173
原创:小姐姐味道(微信公众号ID:xjjdog),欢迎分享,转载请保留出处。 很多接触Docker的同学,都接触过cgroup这个名词。它是Linux上的一项古老的技术,用来实现资源限制,比如CPU、内存等。但有很多同学反映,这项技术有点晦涩,不太好懂。 这就是本篇文章存在的目的,会让你以最简单直观的方式,了解cgroups到底是个什么东西。 接上上篇文章:《5分钟快速了解Docker底层原理 | namespace篇》 cgroups,是实现docker功能的重要底层设施。如上图,使用c.
docker入门(一):Docker背景知识点与底层逻辑
Liu Feng's Blog
08-17 802
一、docker历史 1997-06:EC first 二、docker能做什么 docker的思想: 集装箱 核心:隔离!打包 更快地交付和部署 打包镜像,一键运行打包镜像,一键运行 更便捷地升级和扩缩容 项目打包成镜像,扩展为服务器A、B 更简单地系统运维 开发和测试环境都是一致的 更高效地资源利用 docker 是内核级别的虚拟化,可以在一个物理机上运行很多的容器,服务器的性能可以压缩到极致 三、docker的基本组成 镜像(image) 镜像就好比一个模板,可以通过这.
5分钟快速了解Docker底层原理
小姐姐味道
01-27 364
原创:小姐姐味道(微信公众号ID:xjjdog),欢迎分享,转载请保留出处。一位同学曾给我打比方:宿主机就好比一间大房子,docker把它成了N个小隔断。在这些小隔断之间,有独立的卫生间...
Docker cpu限制分析
热门推荐
勤奋的猪
08-21 1万+
本文测试了,docker容器限制cpu资源使用的几个配置参数。分别使用top和dstat命令分析了资源占有情况。package mainimport ( "flag" "runtime" "fmt" )func main() { cpunum := flag.Int("cpunum", 0, "cpunum") flag.Parse() fmt.Pri
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值