容器技术之Docker资源限制

　　上一篇我们聊到了docker容器的单机编排工具docker-compose的简单使用，回顾请参考https://www.cnblogs.com/qiuhom-1874/p/13121678.html；今天我们主要来聊一聊docker容器的资源限制；通常情况下我们启动一个docker容器，其内存和CPU都是同宿主机一样大，这意味着该容器和宿主机共享相同大小的内存和CPU资源；这样一来容器正常情况下没有什么问题，假如容器里运行的进程特别爱吃内存，很可能存在把宿主机上的内存全部吃掉，触发内核OOM，从而导致docker daemon直接被内核杀死；为了避免这样的尴尬局面，对启动容器我们有必要对容器的资源进行限制；

　　所谓OOM就是当系统上的应用申请内存资源时，发现申请不到内存，这个时候Linux内核就会启动OOM，内核将给系统上的所有进程进行评分，通过评分得分最高的进程就会被系统第一个干掉，从而腾出一些内存空间，如果腾出的内存空间还是不够该应用使用，它会继续杀得分第二高的，直到应用有足够的内存使用；一旦发生OOM，任何进程都有可能被杀死，包括docker daemon在内，为此，docker特定调整了docker daemon的oom优先级，以免发生oom被内核杀死，但是容器的oom优先级并未做任何调整；

　　那么对于内存资源来讲，在启动为容器时，我们可以通过一些选项来指定容器的内存相关设置；如下图

　　提示：-m 或 --memory 用来指定容器最大能够使用的内存大小，默认情况不指定表示共享物理宿主机的内存大小；--memory-swap 用来指定容器的内存和交换内存的总大小；对于这个参数的取值比较诡异；待会在说吧；--memory-swappiness该选项用来指定容器使用交换内存的倾向性，swap启用有个好处就是在内存不够使用的情况，它可以临时顶替一部分，但是性能会急剧下降；所以数字越大越早使用交换内存，数字越小越晚使用交换内存，取值在0-100之间；0不代表不是用交换内存，0表示能不用交换内存，则不用，但是在迫不得已的情况还是会使用的，100表示只要有一丝可以使用交换内存的希望，就使用交换内存；通常情况在运行容器的主机上不建议使用swap设备；swap交换分区如果一旦被激活，系统性能会急剧下降，建议直接禁用；--memory-reservation该选项用来指定给系统保留的内存空间大小；--kernel-memory用来指定给内核保留的内存大小；--oom-kill-disable该选项用于指定当发生oom时，是否禁用因oom而杀死该容器进程；

　　提示：通常情况--memory-swap这个选项必须同--memory选项一起使用，不可用单独使用；

　　示例：限制容器使用最大内存为256M

[root@docker_registry ~]# docker run --name test --rm -m 256M lorel/docker-stress-ng --vm 2

　　提示：以上命令表示启动一个名为test的容器，限制该容器最大使用内存大小为256M；lorel/docker-stress-ng这个进行用来压测容器；--vm表示同时使用多少进程来做压测；

　　验证：用docker stats看看我们启动test容器是否只能使用256M内存？

　　提示：从上面的结果可以看到，在我们启动容器时，使用-m指定内存大小的容器limit的值就是我们指定的值，而对于没有用-m指定的容器，默认就是同宿主机内存大小一样；

　　对于CPU来讲，默认情况启动容器时，不限制CPU的资源，此时容器是共享宿主机的CPU资源，也就是说默认情况宿主机上有几颗cpu核心，启动的容器就有多少颗核心；对于CPU这种可压缩资源，不会像内存那样，如果CPU满载，也不会导致某个容器崩溃，原因是因为cpu是可压缩资源；而不同于内存，内存属于不可压缩资源，如果申请不到内存，就会出现异常，出现oom；对启动容器来限制cpu资源，通常也是使用选项来限定；如下图

　　提示：--cpus用来指定容器能够使用的最大cpu核心数，例如--cpus=1.5,就表示该容器最大能够使用1.5核的CPU资源，如果宿主机上有4颗CPU核心，那么该容器最多可把1.5颗核心跑满；这样说吧，如果宿主机上有4颗核心，那么该容器如果使用--cpus限定为1.5，那么该容器就只能使用宿主机上的百分之150的核心；--cpu-period 和--cpu-quota该选项在docker1.13以后基本废弃；--cpuset-cpus该选项用于指定容器能够在哪些CPU上运行；如果宿主机上有4颗CPU，--cpuset-cpus=2,3就表示该容器只能使用第2号cpu和第3号cpu;--cpu-shares该选项用于指定容器使用cpu的比例；比如宿主机上只有一个容器，而该容器启动时指定--cpu-shares=1024，则表示，如果没有其他容器，则它可以使用宿主机上的所有cpu资源，如果有第二个容器启动时，指定cpu-shares=512，那么第一个容器会从原来使用整个宿主机的cpu变为使用整个宿主机的cpu的2/3；以此类推，如果有第三个，第四个，他们使用cpu资源都是按照给定的比例动态调整；

　　示例：第一个容器使用--cpu-shares=256;第二个容器使用--cpu-shares=512，看看当第一个容器启动后，看看cpu使用情况，然后第二个容器启动后再看看cpu使用情况

　　提示：可以看到当第一个容器启动时，虽然设置的cpu-shares=256，但是它还是把所有核心几乎都跑满了；我们在跑一个容器看看，看看第二个容器启动后，第一个容器的cpu使用情况是否有变化？

　　提示：从上面的结果看，t1和t2的cpu使用比例大概是1比2；总量还是400%并没有变化；

　　示例：设置容器使用1.5个CPU核心

　　提示：从上面的结果可以看到使用--cpus来限定容器使用的CPU资源，默认它会在每颗黑核心上都要使用一部分，但是重量不会超过150%；

　　示例：限定容器使用CPU核心，只能在0号和3号核心上使用；

　　提示：从上面的结果可以看到，限定t1容器只能使用0号和3号CPU后，1号和2号就基本不会被使用，总量也不会增加；