Docker资源控制与TLS加密通信

最新推荐文章于 2024-04-29 17:23:55 发布
最新推荐文章于 2024-04-29 17:23:55 发布
阅读量592 收藏
点赞数 1
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47151717/article/details/108809899
版权

文章目录

Docker资源控制

  • Docker通过Cgroup 来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。

  • Cgroup是Control Groups的缩写,是Lnux内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如CPU、内存、磁盘IO等等)的机制,

这些具体的资源管理功能称为Cgroup子系统,有以下几大子系统实现:

  • **blkio:**设置限制每个块设备的输入输出控制。例如:磁盘,光盘以及usb等

  • **CPU:**使用调度程序为cgroup任务提供CPU的访问。

  • **cpuacct:**产生cgroup任务的CPU 资源报告。

  • cpuset:如果是多核心的CPU,这个子系统会为cgroup任务分配单独的CPU和内存。

  • **devices:**允许或拒绝cgroup任务对设备的访问。

  • **freezer:**暂停和恢复cgroup任务。

  • memory:设置每个cgroup的内存限制以及产生内存资源报告。

  • **net_cls:**标记每个网络包以供cgroup方便使用。

  • **ns:**命名空间子系统。

  • **perf_event:**增加了对每个group的监测跟踪的能力,可以监测属于某个特定的group的所有线程以及运行在特定CPU上的线程。

    下面开始利用stress压力测试工具来测试CPU 和内存使用状况。

使用stress工作测试cpu和内存

使用Dockerfile来创建一个基于Centos的stress的工作镜像

[root@localhost opt]# mkdir stress
[root@localhost opt]# cd stress
[root@localhost stress]# vim Dockerfile
FROM centos:7
MAINTAINER chen "zhang@kgc.com"
RUN yum -y install wget
RUN wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
RUN yum install -y stress

运行脚本

[root@localhost stress]# docker build -t centos:stress .

使用下面命令创建容器,命令中–cpu-shares参数不能保证获得1个VCPU或多个CPU资源,它仅仅是一个弹性加权值

docker run -itd --cpu-shares 100 centos:stress

1:说明:说明:默认情况下,每个Docker容器的CPU份额都是1024。单独一个容器的份额是没有意义的。只有在同时运行多个容器时,容器的CPU加权的效果

2:例如,两个容器AB的CPU份额分别为1000和500,在CPU进行时间片分配的时候,容器A比容器B多一倍的机会获得CPU的时间片。分配的结果取决于当时主机和其他容器的运行状态,实际上也无法保证容器A一定能获得CPU时间片。比如容器A的进程一直是空闲的,那么容器B是可以获取比容器A更多的CPU时间片的。极端情况下,例如主机上只运行了一个容器,即使它的CPU份额只有50,它也可以独占整个主机

创建容器

docker run -tid --name cpu512 --cpu-shares 512 centos:stress stress -c 10

stress -c 10:容器产生10个子函数进程

进入容器

 docker exec -it 0aa895961d13  bash

输入top查看我们已经创建了10个进程(1master带10个进程)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A8dj6B7q-1601091015533)(C:\Users\19437\AppData\Roaming\Typora\typora-user-images\image-20200925141652979.png)]

再开一台终端容器做比较

docker run -tid --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10

进入容器

 docker exec -it f5f6dac70fa2 bash

两台cpu对比,我们可

最低0.47元/天 解锁文章
黎明穿过冰冷的峡谷
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker-------------Cgroup 资源配置
MIsaka的博客
11-17 258
Cgroup 资源配置方法     Docker通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。     Cgroup 是 Control Groups 的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等)的机制,被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供
docker容器分层
qq_39236849的博客
07-01 687
容器分层技术 容器分层 Dockerfile dockerfile语法 nginx与redis镜像分析 可以看到nginx和redis的镜像的第一层均是一致的,对应base镜像。 # # Nginx Dockerfile # # https://github.com/dockerfile/nginx # # Pull base image. FROM dockerfile/ubuntu # Install Nginx. RUN \ add-apt-repository -y ppa:nginx/s
使用Cgroup在Docker中进行资源管理
panrenjun的博客
03-30 318
文章目录一、Cgroup 资源配置方法二、使用stress工具测试CPU和内存三、CPU周期限制 一、Cgroup 资源配置方法 1、Docker通过Cgroup来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。 2、Cgroup是Control Groups的缩写,是Linux内核提供的一种可以限制、 记录、隔离进程组所使用的物理资源(如CPU、内存、磁盘I0等等)的机制,被LXC、 docker等很多项目用于实现进程资源控制。Cgroup本身是提供将进程进
Docker基本用法和容器管理
weixin_44853840的博客
09-18 289
DockerDockerDocker基本用法镜像容器仓库设置存储库安装docker-engine启动Docker服务Docker容器管理Docker命令Mangement Commands命令选项创建容器启动容器停止容器重启容器暂停进程恢复进程查看容器列表连接正在运行中的容器查看容器中的元数据容器日志管理删除容器 Docker Docker 是一个基于 LXC 技术构建的容器引擎,基于 Go 语言开发,遵循 Apache2.0 协议开源。Docker 的发展得益于为使用者提供了更好的容器操作接口。包括一系列
Docker容器资源分配解析
Mr_XHC的博客
03-17 937
一、Cgroup 简介二、使用stress工具测试CPU和内存三、CPU 周期限制四、CPU Core 控制五、CPU 配额控制参数的混合使用 一、Cgroup 简介 1、Docker通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。 2、Cgroup 是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源的机制。 Cgroup 子系统: blkio:设置限制每个块设备的输入输出控制; cpu:使用调度程序为 cgrou.
docker私有仓库创建,忽略https认证
qq_39864833的博客
03-01 7494
部署镜像仓库 Docker Registry | Docker Documentation ## 使用docker镜像启动镜像仓库服务 $ docker run -d -p 5000:5000 --restart always --name registry registry:2 ## 默认仓库不带认证,若需要认证,参考https://docs.docker.com/registry/deploying/#restricting-access 推送本地镜像到镜像仓库中 $ ..
Docker容器--TLS安全管理
qq_46480020的博客
03-16 696
文章目录一、Docker remote api 访问测试远程调用docker二、Docker-TLS加密验证 一、Docker remote api 访问 Docker的远程调用API接口存在未授权访问的漏洞,至少也应该限制外网访问,这里配置使用Socket方式访问。 这里我们使用centos7 ip:192.168.100.101作为被访问方; centos7 ip:192.168.100.100作为远程调用方。 使用 docker -d -H unix:///var/run/docker.sock -H
Docker高级应用---远程TLS管理(安全认证)
weixin_47151643的博客
09-26 1382
文章目录一、Docker 容器与虚拟机的区别二、Docker 存在的安全问题三、Docker 架构缺陷与安全机制四:Dcoker-TLS加密实战4.1:TLS概述4.2:为什么要使用TLS加密4.3:docker-TLS部署 前言 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具.
「Java工具类」BeanCopyUtil对象复制工具类
热门推荐
Java Farmer
10-31 1万+
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
docker如何关闭证书认证
最新发布
liqinglonguo的博客
04-29 627
docker认证证书过期了,项目又要马上上线怎么办?重新生成证书,时间来不及,这时最快的方法就是关闭证书认证。
Docker通过SSL限制访问
ailian_f的博客
04-13 2630
如果有人给你说需要配置docker的ssl,那么你需要知道的是,他是想限制docker的访问权限,还是需要给域名的ssl证书做配置,给域名对应的ssl证书做配置,可参考nginx容器的配置。 下面是给docker做访问权限,以方便开发人员在开发的过程中使用IDEA快速访问docker,并做到安全访问(通过HTTPS协议) 创建一个存放OpenSSL证书的文件夹存放公钥和秘钥,并进入 mkdi...
企业级别容器仓库Harbor安装、配置、启动、关闭
mkjc_hj的专栏
11-14 3342
企业级别容器仓库Harbor安装、配置、启动、关闭
linux安装elasticsearch8.1.0教程
xingluner的博客
03-18 6509
1.下载地址 :Get Started with Elasticsearch, Kibana, and the Elastic Stack | ElasticNew to Elasticsearch? A few steps to download and you'll be searching & analyzing with Elasticsearch, visualizing with Kibana, and securing with the Elastic Stack.https://ww
linux 内核资源配置--cgroups详解以及在docker中的应用
岳来的博客
06-21 4639
linux 内核资源配置--cgroups详解以及在docker中的应用
docker cgroup详解
leechm的博客
07-25 2110
原理介绍 cgroup不仅可以限制被namespace隔离起来的资源,还可以为我们的资源设置权重,操控进程,停止进程等操作。 我们这里重点学习cgroup怎么实现限制的,以配置为准,它整个配置是通过伪文件系统配置文件的方式来修改配置的。所以我们最终理解一下它的作用即可。 所以cgroup和我们之前的通俗的理解上用户和组的关系是类似的,把用户放到组里面,然后对组限制权限,然后组的目录又分为父目录,子目录,有继承关系,不同目录的继承关系有一个规定,就是入乡随俗,跨目录又不行。。。 我们namespa
docker 日常
shunnianlv的博客
05-11 377
docker 命令 1, 普通用户使用docker 需要用到sudo 可以看到其属主为root,权限为rw,可读可写;其属组为docker,权限为rw,可读可写。如果要当前用户可直接读取该文件,那么我们就为当前用户添加到docker属组即可。 如果还没有 docker group 就添加一个: sudo groupadd docker 将用户加入该 group 内。然后退出并重新登录就生效啦。 sudo gpasswd -a ${USER} docker 重启 docker 服务 sudo service
浅述Docker的容器编排
Python作业辅导员 - 天元浪子
04-11 3889
作为容器引擎,Docker为容器化的应用程序提供了开放标准,使得开发者可以用管理应用程序的方式来管理基础架构,实现快速交付、测试和部署代码。随着容器的大量使用,又产生了如何协调、调度和管理容器的问题,Docker的容器编排应运而生。所谓容器编排,通俗一点可以理解为集群管理。Docker的容器编排工具有很多,最出名的当属Compose、Machine和Swarm,合称Docker三剑客。其中Compose和Machine是第三方的,而Swarm则是Docker官方的容器编排工具,已经被集成在Docker中了。
docker】cgroups资源限制
种一颗树最好的时间是十年前,其次是现在!
09-16 2429
通过-cpu-share并不是cpu资源的绝对数量,而是一个相对的权重值,某个容器最终能分配到的cpu资源取决于它的cpu share占所有容器 cpu share综合的比例。Block IO 是另一种可以限制容器使用的资源,Block IO 指的是磁盘的读写,docker可通过设置权重,限制bps和iops的方式控制容器读写磁盘的带宽。共享式CPU资源,是按比例切分CPU资源Docker默认每个容器的权值为1024。在有多个容器竞争CPU时,我们可以设置每个容器能会用的CPU时间比例,这个比例叫做。
cgroup 分析之CPU和内存部分
weixin_30443731的博客
06-26 1110
https://ggaaooppeenngg.github.io/zh-CN/2017/05/07/cgroups-%E5%88%86%E6%9E%90%E4%B9%8B%E5%86%85%E5%AD%98%E5%92%8CCPU/ cgroup 的整体结构 cgroup 是容器当中对资源进行限制的机制,完整的名称是叫 control group。经常提到的 hierarchy 对应...
docker资源配置Cgroup
零下二度的博客
03-31 250
目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值