dockers-Cgroup资源分配配置与安全

最新推荐文章于 2022-04-18 16:31:38 发布
最新推荐文章于 2022-04-18 16:31:38 发布
阅读量1.3k 收藏
点赞数
分类专栏: k8s 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47151646/article/details/108793631
版权

一、cgroup的介绍:

Docker通过Cgroup来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。Cgroup是Control Groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如CPU、内存、磁盘IO等等)的机制,被LXC、docker等很多项目用于实现进程资源控制。Cgroup本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O或内存的分配控制等具体的资源管理功能。这些具体的资源管理功能称为Cgroup子系统,有以下几大子系统实现:

  • blkio:设置限制每个块设备的输入输出控制。例如:磁盘,光盘以及usb等等。
  • CPU:使用调度程序为cgroup任务提供CPU的访问。
  • cpuacct:产生cgroup任务的CPU资源报告。
  • cpuset:如果是多核心的CPU,这个子系统会为cgroup任务分配单独的CPU和内存。
  • devices:允许或拒绝cgroup任务对设备的访问。
  • freezer:暂停和恢复cgroup任务。
  • memory:设置每个cgroup的内存限制以及产生内存资源报告。
  • net_cls:标记每个网络包以供cgroup方便使用。
  • ns:命名空间子系统。(按照逻辑管理分配)
  • perf_event:增加了对每个group的监测跟踪的能力,可以监测属于某个特定的group的所有线程以及运行在特定CPU上的线程。超出设定的限制会报错!!!

1、实验环境准备:

mkdir /opt/stress
vim /opt/stress/Dockerfile
FROM centos:7
MAINTAINER ZK "ZK@kgc.com"
RUN yum install -y wget
RUN wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
RUN yum install -y stress
Cd /opt/stress
docker build -t centos:stress .

2、实验项目之CPU管理:

实验项目1:
1、CPU份额的控制:cpu分配的权重比例不同:1:2
docker run -itd --name cpu512 --cpu-shares 512 centos:stress stress -c 10
docker exec -it f135cf852686 bash
Top
docker run -itd --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10
docker exec ba0805ba6812 bash
Top

2、CPU周期限制:
CPU-period:用来指定容器对CPU的使用要在多长时间做一次重新分配。
CPU-quota:在指定的周期内,最多有多长时间来跑这个容器。
docker run -itd --cpu-period 100000 --cpu-quota 200000 centos:stress
docker exec -it 4310d6e2cebc bash
Cat /sys/fs/cgroup/cpu/cpu.cfs_period_us            100000
Cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us            200000

3、CPU核心数的控制:
docker run -itd --name cpu1 --cpuset-cpus 0-1 centos:stress
docker exec -it 07a163e19cfd bash
cat /sys/fs/cgroup/cpuset/cpuset.cpus     0-1
docker exec 07a163e19cfd taskset -c -p 1
docker exec -it 07a163e19cfd bash
Stress -c 10                                      在容器里面跑10个进程
Top

3、实验项目之内存管理:

1、内存限额:物理内存和swap,
docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 280M
docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 310M报错
-m:内存
-memory-swap:内存+swap配额
创建的项目不能超出memory-swap

4、实验项目之读写带宽控制

docker run -itd --name containter_A --blkio-weight 600 centos:stress
Docker ps -a
docker exec -it 95a3f75769b2 bash
  cat /sys/fs/cgroup/blkio/blkio.weight
docker run -itd --name containter_B --blkio-weight 300 centos:stress
  docker exec -it 95a3f75769b2 bash
cat /sys/fs/cgroup/blkio/blkio.weight

5、实验项目之读写速度控制:

docker run -it --device-write-bps /dev/sda:5MB centos:stress
dd if=/dev/zero of=test bs=1M count=1024 oflag=direct   慢
docker run -it centos:stress
dd if=/dev/zero of=test bs=1M count=1024 oflag=direct  快

二、Docker-TLS加密通讯:

  • 为了防止链路劫持、会话劫持等问题导致的Docker通中被中间人攻击,c/s两端通过加密的方式通讯。
  • 加密算法:
    1:对称 DES 3DES AES 长度不同长度越长安全越高,解密速度越慢
    2:非对称 RSA 公钥,私钥 公钥:所有人可知(锁) 私钥(钥匙)个人身份信息,不可抵赖。
    3:证书:个人信息,密钥,有效期
    4:ca: 证书颁发机构ca证书
    密钥key—》身份签名csr—》(服务器/客户端)(结合ca.pem)制作证书pem
    证书pem发送给客户端,客户端验证就使用证书验证
  • 代码实现:
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
echo extendedKeyUsage=clientAuth > extfile.cnf
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
rm -rf ca.srl client.csr extfile.cnf server.csr

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
systemctl daemon-reload 
systemctl restart docker
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

scp ca.pem root@14.0.0.11:/etc/docker
scp cert.pem root@14.0.0.11:/etc/docker
scp key.pem root@14.0.0.11:/etc/docker
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
cnwocvnweoinv
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dockers-开源
07-20
我的 Docker 文档。
dockerception:Docker构建Dockers-使它们保持较小
05-07
DockerceptionDocker构建Dockers-使它们保持较小tl; dr 您可以将Docker构建过程分为“构建器”泊坞窗和“运行时”泊坞窗,以使您的Docker运行时映像尽可能小。 该存储库就是一个例子。 要构建运行时docker映像,请...
解决dockers无法启动
roxxo的博客
04-28 2367
记录一下 折腾了一天 一台服务器跑代码崩了 重启后,dockers无法使用, 启动docker 报 Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for de...
Docker 资源限制之 CPU
顽石的专栏
11-01 1万+
一、压测工具 同上文 Docker 资源限制之内存 使用 stress 测试。 二、CPU 测试 Runtime constraints on resources 目前 Docker 支持 CPU 资源限制选项 -c, --cpu-shares=0 CPU shares (relative weight)-c 选项将会废弃,推荐使用 --cpu-shares
Docker详解(十)——Docker容器CPU资源限额配置
永远是少年
04-18 1万+
今天继续给大家介绍Linux运维相关知识,本文主要内容是Docker的CPU资源限额。 一、CPU相对份额限制 二、CPU使用绝对限制 三、CPU核心控制
在宿主机查看docker使用cpu、内存、网络、io情况
xiaomin1991222的专栏
10-31 1021
在宿主机查看docker使用cpu、内存、网络、io情况   docker stats 容器名 或 docker stats 容器id   动态显示下列数据: CONTAINER           CPU %               MEM USAGE/LIMIT       MEM %               NET I/O hello_world2        0...
docker高级应用之cpu与内存资源限制(转)
热门推荐
pdw2009的专栏
09-29 2万+
docker高级应用之cpu与内存资源限制
geoNEON-executable-dockers
04-01
geoNEON可执行的码头工人 具有可从命令行调用的可执行脚本的Docker。 我尝试使脚本尽可能灵活,但是在使用脚本之前,应检查dockerfile并启动脚本,以确保它们对您的系统和应用程序有意义。 设置 ...
Docker-compose的安装和设定详细步骤
01-20
Docker-compose的安装和设定详细步骤 docker的1.12版本中,swarm已经合体,docker-engine/swarm/docker-compose的三件套装已经变成两件。后续会不会将docker-compose进一步合体呢,想做的话应该是顺手的事情吧,不想...
详解docker国内镜像拉取和镜像加速registry-mirrors配置修改
01-11
由于国内访问直接访问Docker hub网速比较慢,拉取镜像的时间就会比较长。一般我们会使用镜像加速或者直接从国内的一些平台镜像仓库上拉取。 我比较常用的是网易的镜像中心和daocloud镜像市场。...
docker限制cpu、内存使用
qq_38288330的博客
08-30 1万+
1.docker限制cpu使用 1.1 使用CFS调度 默认情况下,容器可以无限制地使用主机的cpu资源,可以通过设置参数来进行限制。一般都采用Linux默认的CFS调度法,当然也可以使用实时调度。CFS调度可以使用如下参数来进行限制: --cpus=<value>:限制容器可以使用多少cpu,可以设置为小数,例如可以设置--cpus=1.5。该选项代表使用cpu的百分比,而不是具体的个数。例如主机一共有四个cpu,设--cpus=2,不代表有两个cpu被100%占用,另外两个完全空闲,可
Docker cpu限制分析
勤奋的猪
08-21 1万+
本文测试了,docker容器限制cpu资源使用的几个配置参数。分别使用top和dstat命令分析了资源占有情况。package mainimport ( "flag" "runtime" "fmt" )func main() { cpunum := flag.Int("cpunum", 0, "cpunum") flag.Parse() fmt.Pri
docker的四种网络模式与compose
weixin_47151646的博客
09-27 3232
一、Docker的四种网络模式: Docker0 (容器不是网卡) host:容器将不会虚拟出自己的网卡和IP,而是使用宿主机的IP,换个端口号。 container:创建的容器不会创建自己的网卡和IP,而是和另一个容器共享IP、端口。(同生共死)“多用于网站日志监控” None:该模式关闭了容器的网络功能。”无连接”无法联网 bridge:此模式会为每一个容器分配、设置lP,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及lptables nat表配置与宿主机通信。 代码实
k8s单节点部署
weixin_47151646的博客
09-28 2087
1、单节点组织架构: 代码实现: 实验环境的设置: k8s资料包 master:14.0.0.10 node1:14.0.0.11 (有dokcer环境) node2:14.0.0.13 (有dokcer环境) 所有节点:iptables -F setenforce 0 实验步骤: 在master:14.0.0.10上: mkdir k8s cd k8s 从k8s资料包中,将etcd-cert.sh(创建证书的脚本) etcd.sh(创建服务的脚本)拖进来到k8s下 mkdir
多节点部署
weixin_47151646的博客
10-08 1498
实验环境的设置: k8s资料包 master:14.0.0.10 node1:14.0.0.11 (有dokcer环境) node2:14.0.0.13 (有dokcer环境) iptables -F setenforce 0 实验步骤: 在master:14.0.0.10上: mkdir k8s cd k8s 从k8s资料包中,将etcd-cert.sh(创建证书的脚本) etcd.sh(创建服务的脚本)拖进来到k8s下 mkdir etcd-cert(证书群) cd etcd-cert 从k8s资
docker consul容器服务更新与私库harbor
weixin_47151646的博客
09-27 1489
一、容器服务的更新与发现拓扑图: 1、架构组件的功能: consul template:(自动生成nginx的配置文件nginx.conf) consul server:服务发现、更新 consul agent:对接后面的节点 代码实现: 实验1:conslu 两个节点:1、做nginx反向代理+consul容器服务 2、nginx和httpd的业务容器节点 1、在监控服务器1上:14.0.0.10 将docker-compose包拖进来到~目录下: chmod +x dock
Docker容器安装及基础命令
weixin_47151646的博客
09-19 990
一、Docker概述: 1、Docker是什么? 是一种轻量级的“虚拟机” 在Linux容器里运行应用的开源工具 2、Docker与虚拟机的区别: Docker:应用程序进程,启动时长短,占用资源少,不安全,与宿主机共享内核资源; 虚拟机:完完全全的系统。 3、Docker的使用场景: 打包应用程序简化部署 可脱离底层硬件任意迁移 例:服务器从腾讯云迁移到阿里云 4、Docker核心概念: 镜像 一个面向Docker容器引擎的只读模板 容器 从镜像创建的运行实例 仓库 集中保存镜像的地方 5
k8s-仪表盘
weixin_47151646的博客
10-11 814
1、部署步骤: [root@localhost dashboard]# kubectl create -f dashboard-rbac.yaml [root@localhost dashboard]# kubectl create -f dashboard-secret.yaml [root@localhost dashboard]# kubectl create -f dashboard-configmap.yaml [root@localhost dashboard]# kubectl create
dockers-compose与docker compose的区别是什么
最新发布
03-20
3. 版本兼容性:Docker Compose与Docker守护进程版本有一定的兼容性要求,而docker-compose则是与当前安装的Docker守护进程版本相匹配的。 4. 使用方式:Docker Compose使用YAML文件来定义和配置多个容器的相关信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值