Docker 容器内存限制的详细解析

以下是 Docker 容器内存限制的详细解析，包括实验步骤和注意事项：

---

1. Docker 容器内存限制的原理

• Docker 提供了 -m 或 --memory 参数来限制容器的最大内存使用量。

• 作用：

  1. 防止单个容器占用过多内存，影响其他容器或宿主机。
  2. 限制内存使用，避免因内存泄漏导致系统崩溃。
  3. 结合 CPU 限制，实现更加精细化的资源管理。

• 默认设置：

  • 如果未设置内存限制，则容器可以使用宿主机的所有可用内存。
  • 若容器内存溢出，可能会触发 OOM（Out of Memory）杀手，终止容器进程。

---

2. 设置容器内存限制

2.1 基本命令

docker run -it --name <容器名> -m <内存大小> <镜像名>

• 参数说明：
  • -m 或 --memory：设置容器最大内存限制。支持单位：
    • b（字节）、k（千字节）、m（兆字节）、g（千兆字节）。
    • 如：128m 表示 128 MB。
  • --memory-swap：设置总的内存（内存 + 交换区）限制。

---

2.2 示例：限制容器内存为 128MB

docker run -it --name test-container -m 128m centos

• 验证内存限制：
  进入容器，查看内存限制：

  cat /sys/fs/cgroup/memory/memory.limit_in_bytes

  输出应为：134217728（即 128MB）。

---

2.3 内存限制与服务运行的关系

• 在给容器设置内存限制时，需要根据服务的实际需求来分配内存。
• 实验步骤：
  1. 在物理机中运行服务（如 Tomcat）。
  2. 使用压力测试工具（如 JMeter）进行压测，记录服务的最大内存使用量。
  3. 在容器中运行相同服务时，确保分配的内存大于最大内存需求，并留一定冗余空间。

例如：

• Tomcat 的最大内存使用量为 1GB，则容器的内存限制应设置为 1.2GB 或更高：

  docker run -it --name tomcat-container -m 1.2g tomcat

---

3. 限制内存和 CPU 的组合使用

3.1 限制内存 + 指定 CPU 核心运行

同时限制容器使用的内存和绑定到特定 CPU 核心：

docker run -it --name limit-container --cpuset-cpus="0,1" -m 128m centos

• 参数说明：
  • --cpuset-cpus: 将容器绑定到 CPU 0 和 CPU 1。
  • -m 128m: 限制内存为 128 MB。

---

4. 实验：验证内存限制是否生效

4.1 安装压力测试工具

在容器中安装 stress 工具，用于模拟内存占用。

1. 创建并进入容器：

   docker run -it --name mem-test -m 128m centos

2. 安装 EPEL 源和 stress：

   yum install -y epel-release
   yum install -y stress
   Ubuntu安装stress
   sudo apt install -y stress-ng

---

4.2 压测内存

在容器中运行以下命令，启动内存压力测试：

stress --vm 1 --vm-bytes 200m --timeout 10s

• 参数说明：
  • --vm 1：启动 1 个内存分配任务。
  • --vm-bytes 200m：每个任务分配 200MB 内存。
  • --timeout 10s：测试持续 10 秒。

预期结果：

1. 容器尝试分配超过 128MB 的内存（-m 128m），但因内存不足被终止。
2. 宿主机日志中可能出现类似 OOM（Out of Memory）杀手的输出：

   Out of memory: Kill process 12345 (stress) score 123 or sacrifice child

---

4.3 验证限制效果

1. 进入容器，查看 /sys/fs/cgroup/memory/memory.limit_in_bytes，确保内存限制正确：

   cat /sys/fs/cgroup/memory/memory.limit_in_bytes

2. 查看容器使用的内存是否受限制：

   docker stats

   • 输出示例：

     CONTAINER ID   NAME           MEM USAGE / LIMIT   MEM %   CPU %
     abc123456789   mem-test       128MiB / 128MiB     100%    0.00%

---

5. 为什么设置内存限制非常重要？

1. 防止内存耗尽：

   • 如果容器内存没有限制，当某个容器发生内存泄漏时，可能占满宿主机的所有内存，导致其他容器或系统服务崩溃。

2. 提高资源利用率：

   • 为每个容器分配合理的内存，避免资源浪费。

3. 隔离与保护：

   • 通过设置内存限制，可以防止恶意程序或故障容器影响整个系统。

---

6. 注意事项

1. 交换区（Swap）设置：

   • 默认情况下，Docker 容器的内存限制包括物理内存和交换区（Swap）。
   • 可以通过 --memory-swap 参数单独控制交换区大小。

   示例：限制内存为 128MB，Swap 为 256MB：

   docker run -it --name swap-test -m 128m --memory-swap 256m centos

2. 避免设置过低的内存限制：

   • 如果内存限制过低，服务可能无法启动，甚至容器内的基础命令也无法运行。

3. 内存泄漏保护：

   • 对运行不受信任代码或应用的容器，强烈建议设置内存限制，避免因代码问题导致宿主机崩溃。

4. 适配业务需求：

   • 根据业务场景和服务负载合理分配容器内存，避免浪费或不足。

---

7. 总结

• Docker 提供了 -m 参数，用于限制容器的最大内存使用量。
• 在生产环境中，应根据实际服务需求压测结果，为容器设置合理的内存限制。
• 结合 CPU 限制（如 --cpuset-cpus 或 --cpu-shares），可以实现更高效的资源管理。
• 设置内存限制是保障宿主机稳定性的重要措施，尤其适用于多租户场景或运行不受信任代码时。

如果有其他疑问（如内存溢出问题或更多实验需求），欢迎继续提问！