Docker 资源控制

一、CPU 资源控制

cgroups是一个非常强大的linux内核工具，它不仅可以限制被namespace隔离起来的资源，还可以为资源设置权重、计算使用量、操控进程启停等等。所以 cgroups（Control groups）实现了对资源的配额和度量。

 

cgroups 有四大功能∶

• 资源限制∶可以对任务使用的资源总额进行限制
• 优先级分配∶通过分配的cpu时间片数量以及磁盘IO带宽大小，实际上相当于控制了任务运行优先级
• 资源统计∶可以统计系统的资源使用量，如cpu时长，内存用量等
• 任务控制∶ cgroup可以对任务执行挂起、恢复等操作

1、设置CPU使用率上限

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。CFS默认的调度周期是100ms。我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少CPU 时间。

使用 --cpu-period即可设置调度周期，使用 --cpu-quota即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用。CFS 周期的有效范围是1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。

而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000。

docker run -itd --name test1 centos:7 /bin/bash

docker ps -a
CONTAINER ID   IMAGE      COMMAND       CREATED         STATUS         PORTS     NAMES
7968c855ffc8   centos:7   "/bin/bash"   4 seconds ago   Up 3 seconds             test1

cd /sys/fs/cgroup/cpu/docker/7968c855ffc80a03350d394661f596dbeec11565cf5bcfbc777b8659dca1e215/

cat cpu.cfs_period_us
100000
cat cpu.cfs_quota_us
-1

# cpu.cfs_period_us：cpu分配的周期(微秒，所以文件名中用 us 表示），默认为100000。

# cpu.cfs_quota_us：表示该control group限制占用的时间（微秒），默认为-1，表示不限制。 若设为50000，表示占用50000/100000=50%的CPU。

2、进行 CPU 压力测试

docker exec -it 7968c855ffc8 /bin/bash  

vim /cpu.sh

#!/bin/bash
i=0
while true
do
let i++
done

chmod +x /cpu.sh
./cpu.sh

top          #查看cpu占用率

3、设置 CPU 使用率

#设置50%的比例分配CPU使用时间上限
docker run -itd --name test2 --cpu-quota 50000 centos:7 /bin/bash   #可以重新创建一个容器并设置限额
或者
cd /sys/fs/cgroup/cpu/docker/7968c855ffc80a03350d394661f596dbeec11565cf5bcfbc777b8659dca1e215/
echo 50000 > cpu.cfs_quota_us
docker exec -it 7968c855ffc8 /bin/bash
./cpu.sh

 
top                             #可以看到cpu占用率接近50%，cgroups对cpu的控制起了效果

4、设置CPU资源占用比（设置多个容器时才有效）

#创建两个容器为 c1 和 c2，若只有这两个容器，设置容器的权重，使得 c1 和 c2 的CPU资源占比为 1/3 和 2/3。

docker run -itd --name c1 --cpu-shares 1024 centos:7
docker run -itd --name c2 --cpu-shares 512 centos:7

#分别进入容器，进行压力测试(同理另开一个终端 c1 也做相同的操作)

docker exec -it 18b40c3507f9 bash

  yum install -y epel-release

yum install stress -y


[root@18b40c3507f9 /]# stress -c 4        #产生四个进程，每个进程都反复不停的计算随机数的平方根
stress: info: [116] dispatching hogs: 4 cpu, 0 io, 0 vm, 0 hdd

#查看容器的运行状态（动态更新）
docker stats
CONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT     MEM %     NET I/O          BLOCK I/O        PIDS

3、设置容器绑定指定的CPU

#先分配虚拟机4个CPU核数
docker run -itd --name c3 --cpuset-cpus 1,3 centos:7 /bin/bash
 
#进入容器，进行压力测试
yum install -y epel-release
yum install stress -y
stress -c 4


#退出容器(打开另一个终端)，执行 top 命令再按 1 查看CPU使用情况

二、对内存使用进行限制

1、创建指定物理内存的容器

-m(--memory=)选项用于限制容器可以使用的最大内存
docker run -itd --name test1 -m 512m centos:7 /bin/bash
 
docker stats

2、创建指定物理内存和swap的容器

docker run -itd --name test2 -m 512m --memory-swap 1g centos:7 /bin/bash
 
强调一下，--memory-swap是必须要与--memory一起使用的
 
正常情况下，--memory-swap的值包含容器可用内存和可用swap
所以-m 300m --memory-swap=1g 的含义为:容器可以使用300M 的物理内存，并且可以使用700M (1G - 300M）的swap
 
如果--memory-swap设置为0或者不设置，则容器可以使用的swap大小为-m值的两倍
如果--memory-swap的值和-m值相同，则容器不能使用swap
如果--memory-Swap值为-1，它表示容器程序使用的内存受限，而可以使用的swap空间使用不受限制（宿主机有多少，swap容器就可以使用多少)

3、 对磁盘IO配额控制（blkio）的限制

（1）设置限制项

--device-read-bps：限制某个设备上的读速度bps（数据量），单位可以是kb、mb(M)或者gb。
例：docker run -itd --name test3 --device-read-bps /dev/sda:1M  centos:7 /bin/bash
 
--device-write-bps ： 限制某个设备上的写速度bps（数据量），单位可以是kb、mb(M)或者gb。
例：docker run -itd --name test4 --device-write-bps /dev/sda:1mb centos:7 /bin/bash
 
--device-read-iops ：限制读某个设备的iops（次数）
  
--device-write-iops ：限制写入某个设备的iops（次数）

（2）创建容器，并限制写速度

（3）通过dd来验证写速度

docker exec -it f21551a31cef                      #进入容器
dd if=/dev/zero of=test.out bs=1M count=50 oflag=direct #添加oflag参数以规避掉文件系统cache

4、清理docker占用的磁盘空间

docker system prune -a  #可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络