Docker的资源限制

news/2025/1/21 9:31:39/文章来源:https://www.cnblogs.com/misakivv/p/18238511

目录
  • 一、什么是资源限制
    • 1、Docker的资源限制
    • 2、内核支持Linux功能
    • 3、OOM异常
    • 4、调整/设置进程OOM评分和优先级
      • 4.1、/proc/PID/oom_score_adj
      • 4.2、/proc/PID/oom_adj
      • 4.3、/proc/PID/oom_score
  • 二、容器的内存限制
    • 1、实现原理
    • 2、命令格式及指令参数
      • 2.1、命令格式
      • 2.2、指令参数
    • 3、案例
      • 3.1、拉取容器压测工具镜像
      • 3.2、文档的Example选项说明
      • 3.3、测试内存使用限制
      • 3.4、验证
      • 3.5、内存软限制
      • 3.6、交换分区限制
    • 4、扩大内存限制
  • 三、容器的CPU限制
    • 1、实现原理
    • 2、命令格式及指令参数
      • 2.1、命令格式
      • 2.2、指令参数
    • 3、案例
      • 3.1、启动一个进程,占用8核CPU
      • 3.2、限制容器CPU
      • 3.3、将容器运行到指定的cpu上
      • 3.4、基于cpu-shares对cpu进行切分
  • 四、容器的块I/O带宽限制
    • 1、实现原理
    • 2、指令格式及指令参数
      • 2.1、指令格式
      • 2.2、指令参数
    • 3、案例
      • 3.1、创建两个不同块I/O带宽权重的容器
      • 3.2、限制读取速率
      • 3.3、限制写入速率
      • 3.4、限制读取IOPS(每秒I/O操作次数)
      • 3.5、限制写入IOPS

一、什么是资源限制

1、Docker的资源限制

默认情况下,容器是没有资源限制的,它会尽可能地使用宿主机能够分配给它的资源。Docker提供了一种控制分配多少量的内存、CPU或阻塞I/O给一个容器的方式,即通过在docker rundocker create命令时设置运行时配置的标志。

2、内核支持Linux功能

docker info

其中许多功能都要求您的内核支持Linux功能,可以通过docker info命令来检查是否支持,如果内核中禁用了某项功能,那你可能会在下边收到一条Warning。

3、OOM异常

对于Linux主机,如果没有足够的内容来执行其他重要的系统任务,将会抛出OOM异常(内存溢出、内存泄漏、内存异常),随后系统会开始杀死进程以释放内存,凡是运行在宿主机的进程都有可能被kill,包括docker daemon和其他重要的应用程序。如果重要的系统进程被kill,会导致和该进程相关的服务全部宕机。

产生OOM异常时,Docker尝试通过调整docker守护程序上的OOM优先级来减轻这些风险,以便它比系统上的其他进程更不可能被杀死,但是容器的OOM优先级未调整时单个容器被杀死的可能性更大(不推荐调整容器的优先级这种方式)。

4、调整/设置进程OOM评分和优先级

Linux会每个进程算一个分数,最终他会将分数最高的进程kill掉

4.1、/proc/PID/oom_score_adj

  • 这个文件控制着一个进程在发生内存不足(OOM)时被内核选中杀死的倾向性。

  • 值的范围是-1000到1000。默认情况下,大多数进程的值为0。正值增加进程被选中杀掉的可能性,负值则减少这种可能性。

  • 如果设置为-1000,则表示进程永远不会被宿主机kernel kill,即便在极端的内存压力下也是如此。这个值允许用户或系统管理员根据进程的重要性来调整其在内存压力下的生存优先级。

4.2、/proc/PID/oom_adj

  • 这个文件在较老的Linux内核版本中用于类似的目的,控制进程在OOM时被杀死的优先级。

  • 它的取值范围是-17到15,作用和oom_score_adj相似,该设置参数的存在是为了和旧版本的Linux内核兼容。值越低,进程越不容易被杀死。

  • -17表示进程不会被killer终止。

4.3、/proc/PID/oom_score

  • 这个文件显示了一个经过计算的分数,反映了在内存不足情况下,内核选择终止该进程的倾向性。

  • 这个分数是基于多个因素动态计算出来的,包括oom_score_adj(或oom_adj)的值、进程当前的内存使用量、进程的CPU使用时间(user time + system time)、进程的存活时间(uptime - start time)等因素。

  • 系统在决定哪个进程应该被OOM killer终结时,会参考这个分数,分数越高,表示该进程在内存压力下被选中杀死的概率越大。通过观察这个值,管理员可以了解内核是如何评估各个进程的内存压力状况的。

二、容器的内存限制

容器可以使用的内存为:物理内存交换空间(Swap)

1、实现原理

Docker实际上是使用Linux Cgroups中的Memory Subsystem来实现的对内存资源的限制。

对于每个容器创建后,Docker都会在Linux Cgroups的Memory Subsystem中建立一个Control Group,并将容器中的所有进程都加入到这个cgroup中。之后Docker就可以通过对该cgroup的Memory Subsystem相关参数进行调整来实现对容器进行内存资源的限制了。

对于内存限制,Docker通过memory.limit_in_bytes属性来设置容器可用的最大内存容量,一旦容器达到这个限制,根据设置的不同,可能被终止或受到其他类型的约束。

2、命令格式及指令参数

2.1、命令格式

dcoker run [options]
#运行容器时设置
docker update [options]
#容器运行后修改

2.2、指令参数

参数 描述
-m 或 -memory= 容器可以使用的最大内存量。单位可以是b, k, m, g。允许的最小值为4m(4MB)。
--memory-swap 容器可以使用的交换分区和物理内存大小总和,必须要在设置了物理内存限制的前提才能设置交换分区的限制。如果该参数设置未-1,则容器可以使用主机上swap的最大空间
--memory-swappiness 设置容器使用交换分区的倾向性,值越高表示越倾向于使用swap分区,范围为0-100,0为能不用就不用,100为能用就用。
--kernel-memory 容器可以使用的最大内核内存量,最小为4m,由于内核内存与用户空间内存隔离,因此无法与用户空间内存直接交换,因此内核内存不足的容器可能会阻塞宿主机主机资源,这会对主机和其他容器或者其他服务进程产生影响,因此不要设置内核内存大小
--memory-reservation 允许指定小于--memory的软限制当Docker检测到主机上的争用或内存不足时会激活该限制,如果使用--memory-reservation,则必须将其设置为低于--memory才能使其优先。因为它是软限制,所以不能保证容器不超过限制。
--oom-kill-disable 默认情况下,发生OOM时kernel会杀死容器内进程,但是可以使用该参数可以禁止oom发生在指定的容器上,仅在已设置-m选项的容器上禁用oom,如果-m参数未配置,产生oom时主机为了释放内存还会杀死进程

3、案例

如果一个容器未作内存使用限制,则该容器可以利用到系统内存最大空间,默认创建的容器没有做内存资源限制

3.1、拉取容器压测工具镜像

docker pull lorel/docker-stress-ngdocker run -it --rm lorel/docker-stress-ng -help
#查看docker-stress-ng的用法

3.2、文档的Example选项说明

stress-ng --cpu 8 --io 4 --vm 2 --vm-bytes 128M --fork 4 --timeout 10s
  • -c N, --cpu N 启动 N 个子进程( cpu )
  • --vm N 启动 N 个进程对内存进行压测
  • --vm-bytes 128M 每个子进程使用多少内存(默认 256M )

3.3、测试内存使用限制

docker run --name stress -it --rm -m 256m lorel/docker-stress-ng:latest stress --vm 2
#限制内存最多使用256M

限制内存使用最多256M

开启压测启动两个进程,每个进程使用256M

3.4、验证

docker stats stress

可以看到,无论启动多少个使用256M的进程做压测(这里启动了2个进程,按理会使用512MB内存),stress容器的最大内存使用量始终维持在256MB。

3.5、内存软限制

内存软限制不会真正限制到内存的使用

docker run -it --rm -m 256m --memory-reservation 128m --name test1 lorel/docker-stress-ng --vm 2 --vm-bytes 256m
docker stats
CONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT   MEM %     NET I/O     BLOCK I/O         PIDS
0ffb4b8fdbde   test1     174.52%   255.9MiB / 256MiB   99.95%    648B / 0B   5.33GB / 18.1GB   5
  • -m 256m:这是内存的硬限制(hard limit),容器使用的内存不能超过这个值。
  • --memory-reservation 128m:这是内存的软限制(soft limit),尝试保证至少有这么多内存可用给容器,但实际上容器可以使用超过这个值直到达到硬限制,前提是系统中有足够的空闲内存。

3.6、交换分区限制

docker run -it --rm -m 256m --memory-swap 512m --name test1 lorel/docker-stress-ng --vm 2 --vm-bytes 256m

容器可以使用的交换分区和物理内存大小总和

必须要在设置了物理内存限制的前提才能设置交换分区的限制。

4、扩大内存限制

cat /sys/fs/cgroup/memory/memory.limit_in_bytes
9223372036854771712
#通过修改cgroup文件扩大内存限制,缩小会报错

三、容器的CPU限制

1、实现原理

Docker实际上是使用Linux Cgroups中的CPU Subsystem来实现的对CPU资源的限制。

Docker 会为每个容器在CPU Subsystem中建立一个Control Group,并且将该容器中的所有进程都加入到该cgroup中。之后Docker就可以通过对该cgroup的CPU Subsystem相关参数进行调整来实现对容器进行 CPU 资源的限制了。限制命令中的–cpu-shares参数,实际上就是在配置CPU Subsystem中某个容器所对应的Control Group中参数cpu.shares的值。

2、命令格式及指令参数

2.1、命令格式

dcoker run [options]
#运行容器时设置
docker update [options]
#容器运行后修改

2.2、指令参数

参数 描述
--cpus 指定容器可以使用的CPU资源比例。例如,在双核CPU主机上设置--cpus=1.5,容器理论上可使用相当于1.5个CPU的资源。若为4核,可跨核心分配,总使用量不超过1.5核心。
--cpu-period 设置CPU调度周期(单位微秒),通常与--cpu-quota搭配使用,以限制容器在每个周期内的CPU使用量。
--cpu-quota 在给定的--cpu-period内,设置容器可以使用的CPU时间(单位微秒)。与--cpu-period配合,实现CPU使用量的绝对控制。
--cpuset-cpus 允许指定容器可运行在哪些CPU核心上,实现CPU绑定(“绑核”),提高CPU访问效率或满足特定隔离需求。
--cpuset-mems 仅对具有非统一内存访问(NUMA)架构的系统有效,用于指定容器可使用的内存节点,优化内存访问速度。
--cpu-shares 设置容器的CPU份额权重,与其他容器共享CPU资源时,权重高的容器将获得更多的CPU时间。默认值为1024,最大值为262144。

3、案例

3.1、启动一个进程,占用8核CPU

docker run -it --rm --name test1 lorel/docker-stress-ng --vm 1 --cpu 8 docker statsCONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT     MEM %     NET I/O     BLOCK I/O        PIDS
7eb5882b9379   test1     812.96%   1.387GiB / 1.781GiB   77.88%    648B / 0B   4.02GB / 412MB   25

3.2、限制容器CPU

docker run -it --rm  --cpus 4 --name test1 lorel/docker-stress-ng --vm 1 --cpu 8 docker statsCONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT     MEM %     NET I/O     BLOCK I/O        PIDS
0a1c3805e5c9   test1     398.99%   1.414GiB / 1.781GiB   79.40%    648B / 0B   1.14GB / 127MB   25toptop - 21:19:53 up  2:33,  2 users,  load average: 12.50, 9.48, 4.62
Tasks: 175 total,  17 running, 158 sleeping,   0 stopped,   0 zombie
%Cpu0  : 52.1 us,  0.3 sy,  0.0 ni, 45.5 id,  1.7 wa,  0.0 hi,  0.3 si,  0.0 st
%Cpu1  : 49.8 us,  1.4 sy,  0.0 ni, 15.2 id, 32.5 wa,  0.0 hi,  1.0 si,  0.0 st
%Cpu2  : 48.6 us,  1.7 sy,  0.0 ni,  6.2 id, 41.4 wa,  0.0 hi,  2.1 si,  0.0 st
%Cpu3  : 49.1 us,  2.1 sy,  0.0 ni,  8.0 id, 39.4 wa,  0.0 hi,  1.4 si,  0.0 st
%Cpu4  : 51.6 us,  0.7 sy,  0.0 ni, 46.0 id,  1.4 wa,  0.0 hi,  0.3 si,  0.0 st
%Cpu5  : 48.4 us,  2.4 sy,  0.0 ni,  1.4 id, 46.3 wa,  0.0 hi,  1.4 si,  0.0 st
%Cpu6  : 50.2 us,  1.0 sy,  0.0 ni, 23.9 id, 24.2 wa,  0.0 hi,  0.7 si,  0.0 st
%Cpu7  : 45.3 us,  5.9 sy,  0.0 ni, 21.1 id, 26.6 wa,  0.0 hi,  1.0 si,  0.0 st

3.3、将容器运行到指定的cpu上

docker run -it --rm  --cpus 2 --cpuset-cpus 1,3 --name test1 lorel/docker-stress-ng --vm 1 --cpu 8 docker statsCONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT     MEM %     NET I/O     BLOCK I/O         PIDS
ee11d834dde5   test1     186.68%   1.488GiB / 1.781GiB   83.60%    648B / 0B   44.8GB / 95.7MB   25toptop - 21:27:31 up  2:41,  2 users,  load average: 14.97, 9.00, 5.77
Tasks: 176 total,  19 running, 157 sleeping,   0 stopped,   0 zombie
%Cpu0  :  0.0 us,  0.3 sy,  0.0 ni, 99.0 id,  0.0 wa,  0.0 hi,  0.7 si,  0.0 st
%Cpu1  : 87.5 us, 10.9 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  1.7 si,  0.0 st
%Cpu2  :  0.0 us,  0.0 sy,  0.0 ni,100.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu3  : 32.9 us, 46.1 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi, 21.1 si,  0.0 st
%Cpu4  :  0.0 us, 17.3 sy,  0.0 ni, 82.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu5  :  0.0 us, 12.7 sy,  0.0 ni, 79.2 id,  0.0 wa,  0.0 hi,  8.2 si,  0.0 st
%Cpu6  :  0.0 us,  0.0 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.3 si,  0.0 st
%Cpu7  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st

3.4、基于cpu-shares对cpu进行切分

docker run -it --rm  -d --cpu-shares 1000 --name test1 lorel/docker-stress-ng --vm 1 --cpu 4 docker run -it --rm  -d --cpu-shares 500 --name test2 lorel/docker-stress-ng --vm 1 --cpu 4 docker statsCONTAINER ID   NAME      CPU %     MEM USAGE / LIMIT     MEM %     NET I/O     BLOCK I/O       PIDS
d6dd34edb722   test1     543.41%   819.6MiB / 1.781GiB   44.95%    648B / 0B   102MB / 154MB   13
154b07a94e2f   test2     241.15%   711.1MiB / 1.781GiB   39.00%    648B / 0B   406MB / 145MB

四、容器的块I/O带宽限制

块I/O带宽(Block I/O Bandwidth,Blkio)用于管理容器在读写磁盘时的吞吐量,Docker可通过设置权重、限制每秒字节数(B/s)和每秒I/O次数(IO/s)的方式控制容器读写盘的带宽。确保各容器之间以及与宿主机的资源使用保持合理平衡

1、实现原理

Docker利用cgroups的blkio子系统,通过修改特定cgroup目录下的控制文件来实施这些限制。这些文件通常位于/sys/fs/cgroup/blkio/目录下,具体路径会包含容器的唯一cgroup路径,如/sys/fs/cgroup/blkio/docker/<container-id>/...

  • 权重分配:通过修改blkio.weight文件。值范围为10到1000,值越大,优先级越高。
  • 每秒字节数限制:
    • 读限制:blkio.throttle.read_bps_device,格式为<major>:<minor> <bytes_per_second>
    • 写限制:blkio.throttle.write_bps_device,格式相同。
  • 每秒I/O操作限制:
    • 读IOPS限制:blkio.throttle.read_iops_device,格式同上。
    • 写IOPS限制:blkio.throttle.write_iops_device,格式相同。

2、指令格式及指令参数

2.1、指令格式

dcoker run [options]
#运行容器时设置
docker update [options]
#容器运行后修改

2.2、指令参数

指令参数 描述
--blkio-weight 设置容器块I/O带宽权重,影响容器相对于其他容器的I/O调度优先级。默认值为500。
--device-read-bps 限制容器对指定设备的读取速率,单位可以是kbps, mbps, gbps等。
--device-write-bps 限制容器对指定设备的写入速率,用法同上。
--device-read-iops 限制容器对指定设备的每秒读取I/O次数。
--device-write-iops 限制容器对指定设备的每秒写入I/O次数。

3、案例

3.1、创建两个不同块I/O带宽权重的容器

docker run -itd --name io1 --blkio-weight 200 centos:7
docker run -itd --name io2 --blkio-weight 600 centos:7

3.2、限制读取速率

docker run -it --device-read-bps /dev/sda:1mb centos:7

限制对/dev/sda设备的读取速率为每秒1MB

3.3、限制写入速率

docker run -it --device-write-bps /dev/sda:2mb centos:7

限制对/dev/sda设备的写入速率为每秒2MB

3.4、限制读取IOPS(每秒I/O操作次数)

docker run -it --device-read-iops /dev/sda:1000 centos:7

限制对/dev/sda设备的读取每秒不能超过1000次读I/O操作

3.5、限制写入IOPS

docker run -it --device-write-iops /dev/sda:500 centos:7

限制对/dev/sda设备的读取每秒不能超过500次写I/O操作

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/721793.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

医学图像分析入门

医学图像是什么? 医学图像是反映解剖区域内部结构或内部功能的图像,它是由一组图像元素--像素(2D)或立体像素(3D)组成的。医学图像是由采样或者重建产生的离散图像,它能将数值映射到不同的空间位置上。像素所表达的具体数值是由成像设备、成像协议、影像重建以及后期加工…

【MATLAB】去除imagesc()白边

目的:在MATLAB中去除imagesc()白边,去除图片的白边,可以将图片复制到word中的表格中显得更加紧凑。 示例代码如下: figure;imagesc(sarImageNormalization);colormap jet;axis xy; set(gca,Position,[0 0 1 1]);%消除白边实验结果: 未去除白边的效果:去除白边的效果:最终…

机器学习笔记(3): 神经网络初步

神经网络应该由若干神经元组成。前面的每一个神经元都会给到一个参数,将传递的所有参数看作一个向量 \(\vec x\),那么此神经元的净输入为: \[z = x \omega + b \]其中 \(\omega\) 称为权重向量。这里认为 \(x\) 是行向量,而 \(\omega\) 是列向量。神经元还有一个激活函数 \…

配置并集集成Sentinel微服务保护

Sentinel 微服务保护的技术有很多,但在目前国内使用较多的还是Sentinel,所以接下来我们学习Sentinel的使用。 介绍和安装 Sentinel是阿里巴巴开源的一款服务保护框架,目前已经加入SpringCloudAlibaba中。官方网站: https://sentinelguard.io/zh-cn/Sentinel 的使用可以分为…

设计模式:命令模式(Command Pattern)及实例

好家伙,0.什么是命令模式 在软件系统中,“行为请求者”与“行为实现者”通常呈现一种“紧耦合”。 但在某些场合,比如要对行为进行“记录、撤销/重做、事务”等处理,这种无法抵御变化的紧耦合是不合适的。 在这种情况下,如何将“行为请求者”与“行为实现者”解耦?将一组…

gRPC入门学习之旅(十)

gRPC是一个高性能、通用的开源远程过程调用(RPC)框架,基于底层HTTP/2协议标准和协议层Protobuf序列化协议开发, gRPC 客户端和服务端可以在多种环境中运行和交互。你可以用Java创建一个 gRPC 服务端,用 Go、Python、C# 来创建客户端。本系统文章详细描述了如何创建一个自己…

WPS使用技巧|word

分享 WPS word文档的编辑技巧代码 代码高亮 推荐工具:https://highlightcode.com 我们把需要插入的代码复制上去,再点击右上角的 高亮代码把代码复制到WPS即可 效果演示:本文将持续更新……

面向对象程序设计-第4-6次大作业总结

前言 有了三次大作业的经验,即使在面对新的大作业时谈不上得心应手,但也有了一些思路以及应对难点的方法,总归是有了一些心得体会,不会被复杂的测试点和样例搞得捉襟见肘,这也未尝不算进步。 1.知识点 这三次大作业的知识点相较于前几次来说更加复杂,更加专业化,涉及到了…

2024年5月文章一览

2024年5月编程人总共更新了7篇文章: 1.2024年4月文章一览 2.《自动机理论、语言和计算导论》阅读笔记:p215-p351 3.《自动机理论、语言和计算导论》阅读笔记:p352-P401 4.《自动机理论、语言和计算导论》阅读笔记:p402-p427 5.《自动机理论、语言和计算导论》阅读笔记:p42…

BUUCTF-WEB(66-70)

[MRCTF2020]套娃 参考: MRCTF2020 套娃 - Rabbittt - 博客园 (cnblogs.com) upfine的博客 (cnblogs.com) 查看源码然后我这里查一下$_SERVER的这个用法然后这边的意思就是里面不能用_和%5f(URL编码过的下划线) 然后传入b_u_p_t里面这个参数有下划线,我们想办法绕过 substr_cou…

告别Word,用Python打造你的专业简历!

今天给大家介绍下一个在纯 python 中构建简历的实用工具,工具的连接地址https://github.com/koek67/resume-builder/blob/main/readme.md 用法介绍 要求 Python 3.7 或更高版本(仅此而已!) 安装 整个库是一个单独的 python 文件 resume_builder.py。下载此文件 用法 要生成…

某大型医院IBM 3650服务器 raid重组案例——数据完美修复

我们今天谈的是一个来自四川的大型三甲医院的服务器数据恢复的真实的一个案例,是一台IBM的3650服务器,一共六块硬盘坏了,有两块硬盘是300GB,一共是有六块盘,两块盘是曝光灯离线了,导致这个医院的挂号系统,诊疗系统全部瘫痪,所有数据全部丢失,医院属于一个停摆的状态,…