5、Docker 核心原理-资源隔离和限制
Docker
资源隔离
Docker 是利用
linux的LXC技术,内核的Kernel namespace
Namespace:
- PID - 通过PID的namespace隔离,可以嵌套
- NET - 通过网络的NET的namespace隔离
- IPC - 隔离IPC
- mnt - 挂在隔离
- Uts - 可以实现每个docker 容器有自己的hostname,daemin name
- User - 让每个容器有自己的用户和组
资源限制
通过controller group进行
默认支持隔离的:
- CPU
- MEM
磁盘需要手动来隔离
配置资源隔离
Docker默认的每个容器的CPU配额是1024.
如果一个机器只有一个容器,那么就占所有,如果两个,则是平分
在进行安装配置的时候,需要用到压力测试工具stress.
需要在容器中安装测试工具,yum install stress -y,前提有epel源。
下面使用Dockerfile来构建镜像
[root@node docker-file]# mkdir stress
[root@node docker-file]# ls
nginx stress
[root@node stress]# cat Dockerfile
FROM centos
RUN rm -rf /etc/yum.repos.d/*
ADD CentOS7-Base-163.repo /etc/yum.repos.d
ADD epel.repo /etc/yum.repos.d/
RUN yum install stress -y && yum clean all
ENTRYPOINT ["stress"]
[root@node stress]# ls
CentOS7-Base-163.repo Dockerfile epel.repo
[root@node stress]# docker build -t stress:v1 .
[root@node stress]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
stress v1 14cb1cb325cd About a minute ago 221 MB
nginx-file v1 592d69098f3a 18 hours ago 399 MB
sijiayong/my-nginx v1 a80ecf40e4d2 19 hours ago 328 MB
docker.io/centos latest 5182e96772bf 2 weeks ago 200 MB
docker.io/nginx latest c82521676580 4 weeks ago 109 MB
docker.io/registry latest b2b03e9146e1 6 weeks ago 33.3 MB
可以看到进行已经制作完成。
CPU测试
配置1核CPU,让stress进行CPU的压力测试
# 使用--rm参数,当容器退出时,自动删除该容器。
[root@node stress]# docker run -it --rm stress:v1 --cpu 1
stress: info: [1] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
# 然后打开一个新的终端,top查看:
[root@node ~]# top
top - 15:01:48 up 1 min, 3 users, load average: 0.08, 0.02, 0.01
Tasks: 108 total, 2 running, 49 sleeping, 0 stopped, 0 zombie
%Cpu(s):100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 985712 total, 613288 free, 154292 used, 218132 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 636208 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1504 root 20 0 7320 100 0 R 93.8 0.0 0:02.80 stress
启动两个容器,不同配额
启动两个容器,一个容器不指定配额,一个容器指定512的配额,再次查看CPU使用率:
[root@node ~]# docker run -it stress:v1 --cpu 1
stress: info: [1] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
# 再开一个终端
[root@node ~]# docker run -it stress:v1 -c 512 --cpu 1
stress: info: [1] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
# 再开一个终端 top查看
[root@node ~]# top
top - 15:04:02 up 3 min, 3 users, load average: 1.23, 0.37, 0.13
Tasks: 109 total, 4 running, 49 sleeping, 0 stopped, 0 zombie
%Cpu(s):100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 985712 total, 588760 free, 173244 used, 223708 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 612468 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1575 root 20 0 7320 96 0 R 50.9 0.0 0:36.96 stress
1618 root 20 0 7320 96 0 R 50.9 0.0 0:21.13 stress
此时每个容器占了CPU的一半。
多个容器使用多个CPU中的一核
参数 --cpuset-cpus 参数,来制定,从0 开始,可以指定多个,以
,都好分割
# 指定CPU=0
[root@node ~]# docker run -it --rm --cpuset-cpus=0 stress:v1 --cpu 1
stress: info: [1] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
# 打开另一个终端top查看
[root@node ~]# top
top - 15:20:14 up 11 min, 2 users, load average: 0.26, 0.14, 0.05
Tasks: 131 total, 3 running, 57 sleeping, 0 stopped, 0 zombie
%Cpu0 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 4016292 total, 3604620 free, 174116 used, 237556 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 3564852 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2139 root 20 0 7320 96 0 R 100.0 0.0 0:06.22 stress
# 在重新启动一个容器,指定CPU=1
[root@node ~]# docker run -it --rm --cpuset-cpus=1 stress:v1 --cpu 1
stress: info: [1] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
[root@node ~]# top
top - 15:20:24 up 11 min, 2 users, load average: 0.30, 0.15, 0.06
Tasks: 132 total, 3 running, 57 sleeping, 0 stopped, 0 zombie
%Cpu0 : 0.0 us, 1.1 sy, 0.0 ni, 98.9 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 4016292 total, 3601400 free, 177012 used, 237880 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 3561756 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2246 root 20 0 7320 100 0 R 100.0 0.0 0:02.99 stress
可以看到,docker把对应的容器运行那颗CPU上了
内存资源限制
| --memory-swap | --memory | 功能 |
|---|---|---|
| 正数 S | 正数 M | 容器可用内存总空间为S,其中ram为M. swap为(S-M),若S=M,则无可用swap资源 |
| 0 | 正数 M | 相当于未设置swap(unset) |
| unset | 正数 M | 若主机(Docker Host)启用了swap,则容器的可用swap为2*M |
| -1 | 正数 M | 若主机(Docker Host)启用了swap,则容器可使用最大至宿主机上的所有swap空间的swap资源 |
注意:在容器内使用free命令可以看到的swap空间并不具有其所展现出的空间只是意义。
使用 -m 来给容器分配内存,同样使用stress工具,来对容器进行压测
分配一个128m的内存给容器,然后使用stress运行256m的内存对启动的容器进行压测
[root@node ~]# docker run -it --rm -m 128m stress:v1 --vm 1 --vm-bytes 128m --vm-hang 0
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
^Cstress: FAIL: [1] (415) <-- worker 7 got signal 2
stress: WARN: [1] (417) now reaping child worker processes
stress: FAIL: [1] (421) kill error: No such process
stress: FAIL: [1] (451) failed run completed in 5s
# 上面先压测的128m内存,可以正常运行
[root@node ~]# docker run -it --rm -m 128m stress:v1 --vm 1 --vm-bytes 256m --vm-hang 0
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
stress: FAIL: [1] (415) <-- worker 7 got signal 9
stress: WARN: [1] (417) now reaping child worker processes
stress: FAIL: [1] (421) kill error: No such process
stress: FAIL: [1] (451) failed run completed in 0s
# 上面压测的265m内存,启动后就直接被kill退出了
5、Docker 核心原理-资源隔离和限制的更多相关文章
- docker核心原理
容器概念. docker是一种容器,应用沙箱机制实现虚拟化.能在一台宿主机里面独立多个虚拟环境,互不影响.在这个容器里面可以运行着我饿们的业务,输入输出.可以和宿主机交互. 使用方法. 拉取镜像 do ...
- Docker实践(5)—资源隔离
Docker使用cgroup实现CPU,内存和磁盘IO等系统资源的限制. CPU Docker现在有2个与CPU资源相关的参数,-c可以指定CPU的占比,--cpuset可以绑定CPU.例如,指定容器 ...
- Docker容器技术的核心原理
目录 1 前言 2 docker容器技术 2.1 隔离:Namespace 2.2 限制:Cgroup 2.3 rootfs 2.4 镜像分层 3 docker容器与虚拟机的对比 1 前言 上图是百度 ...
- Hadoop Yarn内存资源隔离实现原理——基于线程监控的内存隔离方案
注:本文以hadoop-2.5.0-cdh5.3.2为例进行说明. Hadoop Yarn的资源隔离是指为运行着不同任务的“Container”提供可独立使用的计算资源,以避免它们之间相互干扰.目 ...
- Kafka Topic Partition Replica Assignment实现原理及资源隔离方案
本文共分为三个部分: Kafka Topic创建方式 Kafka Topic Partitions Assignment实现原理 Kafka资源隔离方案 1. Kafka Topic创建方式 ...
- 资源管理与调度系统-YARN资源隔离及以YARN为核心的生态系统
资源管理与调度系统-YARN资源隔离及以YARN为核心的生态系统 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.什么是资源隔离 资源隔离是指为不同任务提供可独立使用的计算资源以 ...
- Docker 基本核心原理
Docker内核知识 namespace资源隔离 namespace的6项隔离 NameSpace 系统调用参数 隔离内容 UTS CLONE_NEWUTS 主机名与域名 IPC CLONE_NEWI ...
- [转]Greenplum 资源隔离的原理与源码分析
摘要: 背景 Greenplum是一个MPP的数据仓库系统,最大的优点是水平扩展,并且一个QUERY就能将硬件资源的能力发挥到极致. 但这也是被一些用户诟病的一点,因为一个的QUERY就可能占光所有的 ...
- Docker 容器资源隔离 namespace(十)
目录 一.简介 Linux Namespace的6大类型 二.Mount Namespace 三.IPC Namespace 四.Network Namespace 五.UTS Namespace 六 ...
随机推荐
- WEB安全的历史
exp === exploit 漏洞利用代码 中国 黑客发展的 几个阶段 启蒙时代 ,黄金时代 ,黑暗时代 启蒙时代 -- 大致在 20世纪 19年代 中国互联网刚起步 一些青年收 ...
- Lab_1:练习3——分析bootloader进入保护模式的过程
文章链接:https://www.cnblogs.com/cyx-b/p/11809742.html 作者:chuyaoxin 一.实验内容 BIOS将通过读取硬盘主引导扇区到内存,并转跳到对应内存中 ...
- 用selenium实现打码平台
注:本文以 人人网登陆 为例 import time from selenium import webdriver # 准备一个名为yudama的py文件 from yudama import in ...
- CSPS模拟 41
说不会鸽就不会鸽的 虽然是炸裂的一场 T1没读懂题,T23交了两个无脑暴力 (公式懒得打了 latex过于感人) T1 点阵内不重合的直线有多少条? 枚举斜率,那么“后继”不在点阵内的点可以作出一个贡 ...
- python学习之【第十二篇】:Python中的迭代器
1.为何要有迭代器? 对于序列类型:字符串.列表.元组,我们可以使用索引的方式迭代取出其包含的元素.但对于字典.集合.文件等类型是没有索引的,若还想取出其内部包含的元素,则必须找出一种不依赖于索引的迭 ...
- 主席树学习笔记(静态区间第k大)
题目背景 这是个非常经典的主席树入门题——静态区间第K小 数据已经过加强,请使用主席树.同时请注意常数优化 题目描述 如题,给定N个整数构成的序列,将对于指定的闭区间查询其区间内的第K小值. 输入输出 ...
- php mkdir不能创建文件夹的原因
php mkdir不能创建文件夹的原因 1 权限问题2 open_basedir设置问题 参考方法http://newmiracle.cn/?p=2896
- 基于docker搭建Jenkins+Gitlab+Harbor+Rancher架构实现CI/CD操作(续)
说明:前期的安装,请转向https://www.cnblogs.com/lq-93/p/11824039.html (4).查看gitlab镜像是否启动成功 docker inspect 容器id ...
- SSM整合相关试题
1.下列关于Spring自动装配的说法中,错误的是() A 在Spring配置文件中,可以通过<bean>元素的autowire属性指定自动装配方式 B autowire属性值可以设置为n ...
- pxe批量部署
功能: 批量全自动安装操作系统方法: dhcp 自动分配IP tftp 微系统 用来安装系统 httpd 网络源 操作流程: #检查环境 getenforce #检查selinux systemctl ...