docker资源配额
Docker通过cgroup来控制容器使用的资源限制,可以对docker限制的资源包括cpu、内存、磁盘
一、 docker容器控制cpu
1. 指定docker容器可以使用的cpu份额
查看配置份额的帮助命令
[root@localhost ~]# docker run --help |grep cpu-shares
-c, --cpu-shares int CPU shares (relative weight)
cpu配额参数:-c, --cpu-shares int
CPU shares (relative weight):在创建容器时指定容器使用的cpu份额值。
cpu-shares的值不能保证可以获得1个vcpu或者多少GHz的cpu资源,仅仅只是一个弹性的加权值。
默认每个docker容器的cpu份额值都是1024。在同一个cpu核心上,同时运行多个容器时,容器的cpu加权的效果才能体现出来。
cgroups只在多个容器同时争抢同一个cpu资源时,cpu配额才会生效。因此,无法单纯根据某个容器的cpu份额来确定有多少cpu资源分配给它,资源分配结果取决于同时运行的其他容器的cpu分配和容器中进程运行情况。
给容器实例分配512权重的cpu使用份额
[root@localhost ~]# docker run -it --cpu-shares 512 centos /bin/bash
[root@a14529a53c61 /]# cat /sys/fs/cgroup/cpu/cpu.shares
512
通过-c设置的 cpu share 并不是 CPU 资源的绝对数量,而是一个相对的权重值。某个容器最终能分配到的 CPU 资源取决于它的 cpu share 占所有容器 cpu share 总和的比例。通过 cpu share 可以设置容器使用 CPU 的优先级。
[root@localhost /]# docker run -it -c 1024 centos /bin/bash
[root@d5237e072a0a /]# cat /sys/fs/cgroup/cpu/cpu.shares
1024
[root@localhost ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
d5237e072a0a centos "/bin/bash" About a minute ago Up About a minute boring_dubinsky
a14529a53c61 centos "/bin/bash" 4 minutes ago Up 4 minutes reverent_brahmagupta
容器boring_dubinsky的cpu.shares是容器reverent_brahmagupta的2倍。当两个容器都需要 CPU 资源时,container_A 可以得到的 CPU 是 container_B 的两倍。
需要注意的是,这种按权重分配 CPU只会发生在 CPU资源紧张的情况下。如果 container_A 处于空闲状态,为了充分利用 CPU资源,container_B 也可以分配到全部可用的 CPU。
2. CPU core核心控制
参数:--cpuset可以绑定CPU
对多核CPU的服务器,docker还可以控制容器运行限定使用哪些cpu内核和内存节点,即使用--cpuset-cpus和--cpuset-mems参数。对具有NUMA拓扑(具有多CPU、多内存节点)的服务器尤其有用,可以对需要高性能计算的容器进行性能最优的配置。如果服务器只有一个内存节点,则--cpuset-mems的配置基本上不会有明显效果。
压缩力测试工具stress
[root@localhost ~]# yum install stress -y
如:产生2个cpu进程,2个io进程,60秒后停止运行
[root@localhost ~]# stress -c 2 -i 2 --verbose --timeout 60s
stress: info: [29431] dispatching hogs: 2 cpu, 2 io, 0 vm, 0 hdd
stress: dbug: [29431] using backoff sleep of 12000us
stress: dbug: [29431] setting timeout to 60s
stress: dbug: [29431] --> hogcpu worker 2 [29432] forked
stress: dbug: [29431] --> hogio worker 2 [29433] forked
stress: dbug: [29431] using backoff sleep of 6000us
stress: dbug: [29431] setting timeout to 60s
stress: dbug: [29431] --> hogcpu worker 1 [29434] forked
stress: dbug: [29431] --> hogio worker 1 [29435] forked
stress: dbug: [29431] <-- worker 29432 signalled normally
stress: dbug: [29431] <-- worker 29434 signalled normally
stress: dbug: [29431] <-- worker 29435 signalled normally
stress: dbug: [29431] <-- worker 29433 signalled normally
stress: info: [29431] successful run completed in 60s
测试cpuset-cpus和cpu-shares混合使用运行效果。创建两个容器实例:docker10 和docker20。 让docker10和docker20只运行在cpu0和cpu1上,最终测试一下docker10和docker20使用cpu的百分比。
[root@localhost ~]# docker run -itd --name docker10 --cpuset-cpus 0,1 --cpu-shares 512 centos /bin/bash
44a8d5bb9505df56f0041e15de45c826a4ef920a567352869f907e41ca64a930
[root@localhost ~]# docker run -itd --name docker20 --cpuset-cpus 0,1 --cpu-shares 1024 centos /bin/bash
0b324e148847b67972ea0a571aed009488f347a338a6a59c1a4b687073c35308
[root@localhost ~]# docker exec -it docker10 /bin/bash
[root@44a8d5bb9505 /]# yum install -y epel-release
[root@44a8d5bb9505 ~]# yum install stress -y
[root@44a8d5bb9505 ~]# stress -c 2 -v -t 10m #运行2个进程,把两个cpu占满
在物理机另外一个虚拟终端上运行top命令,按1快捷键,查看每个cpu使用情况
可看到正常。只在cpu0,1上运行
进入docker20,使用stress测试进程是不是只在cpu0,1上运行,且docker20上运行的stress使用cpu百分比是docker10的2倍
[root@localhost ~]# docker exec -it docker20 /bin/bash
[root@0b324e148847 /]# yum install -y epel-release
[root@0b324e148847 /]# yum install stress -y
[root@0b324e148847 /]# stress -c 2 -v -t 10m
在另外一个虚拟终端上运行top命令,按1快捷键,查看每个cpu使用情况
可以看到:两个容器只在cpu0,1上运行,说明cpu绑定限制成功。而docker20是docker10使用cpu的2倍。说明--cpu-shares限制资源成功。
二、docker容器控制内存
Docker提供参数-m, --memory=""限制容器的内存使用量
[root@localhost ~]# docker run -it -m 128m centos
[root@36d300520777 /]# cat /sys/fs/cgroup/memory/memory.limit_in_bytes
134217728
三、docker容器控制IO
[root@localhost ~]# docker run --help | grep write-b
--device-write-bps list Limit write rate (bytes per second) to a device (default []) #限制此设备上的写速度(bytes per second),单位可以是kb、mb或者gb。
--device-read-bps value #限制此设备上的读速度(bytes per second),单位可以是kb、mb或者gb
适用于防止某个 Docker 容器吃光你的磁盘 I / O 资源
如:限制容器实例对硬盘的最高写入速度设定为 2MB/s
--device参数:将主机设备添加到容器
[root@localhost ~]# mkdir -p /var/www/html/
[root@localhost ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 40G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 39G 0 part
├─centos-root 253:0 0 37G 0 lvm /
└─centos-swap 253:1 0 2G 0 lvm [SWAP]
sr0 11:0 1 1024M 0 rom
[root@localhost ~]# docker run -it -v /var/www/html/:/var/www/html --device /dev/sda:/dev/sda --device-write-bps /dev/sda:2mb centos /bin/bash
[root@682d790647f1 /]# time dd if=/dev/sda of=/var/www/html/test.out bs=2M count=50 oflag=direct,nonblock
注:direct:读写数据采用直接IO方式,不走缓存。直接从内存写硬盘上。
nonblock:读写数据采用非阻塞IO方式,优先写dd命令的数据
50+0 records in
50+0 records out
104857600 bytes (105 MB, 100 MiB) copied, 50.3949 s, 2.1 MB/s
real 0m50.574s
user 0m0.000s
sys 0m0.269s
注: 发现1秒写2M。 限制成功
四、docker容器运行结束自动释放资源
[root@localhost ~]# docker run --help | grep rm
--platform string Set platform if server is multi-platform capable
--rm Automatically remove the container when it exits
-u, --user string Username or UID (format: <name|uid>[:<group|gid>])
作用:当容器命令运行结束后,自动删除容器,自动释放资源
[root@localhost ~]# docker run -it --rm --name test centos sleep 10
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9a1125d7e0a6 centos "sleep 10" 3 seconds ago Up 2 seconds test
注:10s后消失
[root@localhost ~]# docker ps |grep test
