• 【云原生】Docker网络原理及Cgroup硬件资源占用控制


    内容预知

    1.dockers的网络模式

     获取容器的进程号

     docker网络模式的特性 

    1.1 host主机模式

    1.2  container模式

     1.3  none模式

     1.4 bridge 桥接模式

    1.5 容器的自定义网络 

    (1)未创建自定义网络时,创建指定IP容器的测试

    (2)创建自定义docker网络 

    删除自定义网络:

    1.6  Docker容器网络生产经验

    2. Docker容器的资源控制

     3 .docker占用宿主机cpu的限制

    3.1 cpu的使用率上限 

    (1)正常启用的cpu,测试使用上限

    (2)修改默认的容器时间分片上限规则,再次创建启动测试

    (3)创建容器时指定容器的cpu资源占用量上限 

    (4)多cpu分配容器的使用上限

    3.2  设置cpu资源的占用比 

    注意:该方式需要设置多个容器时才会生效 

    3.3 设置容器绑定指定的cpu 

    查看主机中的cpu编号 

    进行绑核创建容器 

    4.  内存使用的限制

     4.1 限制容器可以使用的最大内存

    4.2 限制容器可用的swap 大小 

    5. 对磁盘IO的配置控制(blkio)的限制 

    5.1 默认情况下容器的写速度 

    5.2 进行写速度限制的容器创建 

    6. 清除docker占用的磁盘空间

     总结

     1.对网络模式的控制

    2.对cpu的限制参数

    3.对内存的限制

    4.对磁盘IO的限制


    1.dockers的网络模式

     获取容器的进程号

    1. docker inspect -f '{{.State.Pid}}' 容器id/容器名

     

     docker网络模式的特性 

     docker初始状态下有三种默认的网络模式 ,bridg(桥接),host(主机),none(无网络设置)

    [root@localhost ~]#docker network  ls
    

    网络模式配置说明
    host//主机模式–network host容器和宿主机共享网络命名空间
    container//容器模式–network container:容器的id或者名字容器与指定的容器共享网络命名空间
    none//无网络模式–network none容器拥有独自的网络命名空间,但是没有任何设置
    bridge//桥接模式–network bridge容器拥有独自的网络命名空间,且拥有独立的IP,端口,路由等,使用veth pair 连接docker0 网桥,并以docker0网桥为网关

    1.1 host主机模式

    相当于Vmware中的桥接模式,与宿主机在同一个网络中,但没有独立IP地址。Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离 文件系统,Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、iptable规则等都与其他的Network Namespacel隔离。一个Docker容器一 般会分配一个独立的Network. Namespace。

    但如果启动容器的时候使用host模式, 那么这个容器将不会获得一 个独立的Network Namespace,而是和宿主机共用一个Network Namespace。 容器将不会虚拟出自己的网卡、配置自己的IP等,而是使用宿主机的IP和端口。

    容器和宿主机共享网络命名空间,但没有独立IP地址,使用宿主机的IP地址,和宿主机共享端口范围,例如宿主机使用了80端口,那么容器不能使用80端口。这种模式比较方便,但不安全。 

    1. #创建容器web1,指定网络模式为 host
    2.  #容器和宿主机共享网络命名空间,但没有独立IP地址。使用宿主机的IP,和宿主机共享端口范围。
    3.  docker run -d --name web1 --net=host nginx
    4.  ​
    5.  #访问宿主机的ip和80端口,则可以访问到tt1的nginx服务
    6.  curl http://192.168.73.105:80

    1.2  container模式

    在理解了host模式后,这个模式也就好理解了。这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace,而不是和宿主机共享。 新创建的容器不会创建自己的网卡,配置自己的Ie,而是和一个指定的容器共享re、端口范围等。同样,两个容器除了网络方面,其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

    新创建的B容器和A容器共享命名空间。假如A容器使用了80端口,B容器就不能使用80端口。 

    1. #基于镜像centos:7 创建一个名为web2的容器
    2. docker run -itd --name web2 centos:7 /bin/bash
    3. #查看容器web2的pid号
    4. docker inspect -f '{{.State.Pid}}' web2
    5. ls -l /proc/web2的pid/ns
    6. #创建web3容器,使用container网络模式,和web2共享网络命名空间
    7. docker run -itd --name web3 --net=container:web2 centos:7 bash
    8. #查看web3容器的pid
    9. docker inspect -f '{{.State.Pid}}' web3
    10. ls -l /proc/web3的pid/ns/
    11. #可以看到web3和web2共享同一个网络命名空间

     

     1.3  none模式

    使用none模式,Docker容器拥有自己的Network Namespace,但是,并不为Docker容器进行任何网络配置。也就是说,这个locker容器没有网卡、iP、路由等信息。这种网络模式下容器只有lo回环网络,没有其他网卡、这种类型的网络没有办法联网,封闭的网络能很好的保证容器的安全性。

     1.4 bridge 桥接模式

     bridge模式是docker的默认网络模式,不用--net参数,就是bridge模式。

    相当于Vmware中的 nat模式,容器使用独立.network Namespace,并连接到docker)虚拟网卡。通过dockerO网桥以及iptables

    nat表配置与宿主机通信,此模式会为每一个容器分配hetwork Mamespace、设置等,并将一个主机上的 Docker容器连接到一个虚拟网桥上。

     (1)当Docker进程启动时,会在主机上创建一个名为docker0的虚拟网桥,此主机上启动的Dokcer容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似,这样主机上的所有容器就通过交换机连在了一个二层网络中。

    (2)从docker0子网中分配一个IP给容器使用,并设置dockerO的I地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。veth设备总是成对出现的,它们组成了一个数据的通道,数据从一个设备进入,就会从另一个设备出来、因此,veth设备常用来连接两个网络设备。

    (3 ) Docker将 veth pair 设备的一端放在新创建的容器中,并命名为eth0(容器的网卡),另一端放在主机中,以veth*这样类似的名字命名,并将这个网络设备加入到docker0网桥中。可以通过 brctl show命令查看。

    (4) 使用docker run -p 时,docker实际是在iptables做了DNAT规则,实现端口转发功能。可以使用iptables -t nat -vnL查看。

    1. [root@localhost opt]#docker run -id --name c1 centos:7
    2. [root@localhost opt]#docker run -id --name c2 centos:7
    3. [root@localhost opt]#docker run -id --name c3 centos:7
    4. [root@localhost opt]#brctl show
    5. [root@localhost opt]#docker run -id --name c4 -p 8080:80 centos:7
    6. [root@localhost opt]#brctl show
    7. [root@localhost opt]#docker ps -a

     

     

    1.5 容器的自定义网络 

    ifconfig docker0

    (1)未创建自定义网络时,创建指定IP容器的测试

    指定容器IP的方式: 

    注意:创建指定IP的容器也需要基于docker网卡的IP网段 

    1. docker run -id --name a1 --ip 172.17.0.66 605c77e624dd
    2. ping 172.17.0.66
    3. docker run -id --name a2 --network bridge --ip 172.17.0.65 605c77e624dd

     

    (2)创建自定义docker网络 

     创建自定义网络:

    docker network create --subnet=172.66.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork
    

    docker network ls

     再次创建指定IP的容器:

    1. docker run -id --net=mynetwork --ip 172.66.0.66 --name a3 centos:7
    2. ping 172.66.0.66

    Docker容器网络生产经验,docker的网络建议和宿主机的IP"对照”:

     比如宿主机地址10.2.5.6,容器的地址就可以修改为172.5.6.x,这样方便在故障发生时,更容易定位故障节点位置。 

    1. docker exec -it a3 bash
    2. [root@a787f95f65b6 /]# yum install -y net-tools
    3. [root@a787f95f65b6 /]# yum install -y net-tools

    删除自定义网络:

    如果想要删除自定义的网络,可以使用 docker network rm 网络模式名称 进行删除,例如docker network rm mynetwork

     删除网络模式前,需要先确保使用该网络模式创建的容器已退出(即已停止)。如果容器仍在运行,则该网络无法删除。

    1.6  Docker容器网络生产经验

    1. # daemon.json 配置介绍
    2.  {
    3.   "graph": "/data/docker",
    4.   "storage-driver": "overlay2",
    5.   "insecure-registries": ["registry.access.redhat.com", "quay.io"],
    6.   "registry-mirrors": ["https://3u6mkfxb.mirror.aliyuncs.com"],
    7.   "bip": "172.24.38.1/24",       #指定网桥的网段,这里不能写0,必须写1
    8.   "exec-opts": ["native. cgroupdriver= systemd"],
    9.   "live-restore": true
    10.  }
    11.  ​
    12.  #配置项注意点:
    13.  ● graph:该关键字未来将被弃用,可以采用"data-root" 替代。
    14.  ● storage-driver:存储驱动,即分层文件系统。
    15.  ● insecure-registries:不安全的docker registries, 即使用http协议推拉镜象。
    16.  ● registry-mirrors:加速站点,一般可以使用阿里、网易云、docker中国 (https: //registry.docker-cn.com)的地址。
    17.  ● bip:指定doccer bridge地址(不能以.0结尾),生产中建议采用172.xx.yy.1/24,其中xx. yy为宿主机ip后四位,方便定位问题。
    18.  ● 若启动失败,查看/var/log/message 日志排错。
    19.  ● live-restore:启用实时还原。
    20.  默认情况下,当Docker守护程序终止时,它将关闭正在运行的容器。从Docker Engine 1.12开始,您可以配置守护程序,以便在守护程序不可用时容器仍在运行。此功能称为实时还原。实时还原选项有助于减少由于守护程序崩溃,计划内的停机或升级而导致的容器停机时间。
    21.  ​
    22.  ​
    23.  #使用配置文件/etc/docker/daemon.json (没有时新建该文件)
    24.  vim /etc/docker/daemon.json
    25.  {
    26.  " insecure-registries": ["192.168.10.7:666"],
    27.  "registry-mirrors": ["https://3u6mkfxb.mirror.aliyuncs.com"],
    28.  "live-restore": true
    29.  }

    2. Docker容器的资源控制

     Docker通过Cgroup 来控制容器使用的资源配额,包括CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。Caroup 是ControlGroups的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 cpu、内存、磁盘,io等等)的机制,被LXC、docker等很多项目用于实现进程资源控制。Cgroup本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O或内存的分配控制等具体的资源管理是通过该功能来实现的。

    • 资源限制:可以对任务使用的资源总额进行限制。
    • 优先级分配:通过分配的cpu时间片数量以及磁盘IO带宽大小,实际上相当于控制了任务运行优先级。
    • 资源统计:可以统计系统的资源使用量,如cpu时长,内存用量等。
    • 任务控制: cgroup可以对任务 执行挂起、恢复等操作。

     3 .docker占用宿主机cpu的限制

    3.1 cpu的使用率上限 

     Linux通过CFS (Completely Fair Scheduler,完全公平调度器)来调度各个进程对ceu的使用。CFS默认的调度周期是100ms 。我们可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少CPU时间。

     
    使用--cpu-period 即可设置调度周期,使用--cpu-quota即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用。CFS周期的有效范围是 1ms~1s,对应的--cpu-period 的数值范围是1000~1000000。而容器的CPU配额必须不小于1ms,即--cpu-quota的值必须>= 1000。而容器的CPU配额必须不小于1ms,即--cpu-quota的值必须>= 1000。

    (1)正常启用的cpu,测试使用上限

    1. #正常创建容器(此时容器遵循默认的占用cpu资源规则)
    2. [root@localhost ~]#docker run -id --name c1 centos:7
    3. [root@localhost ~]#docker ps -a
    4. [root@localhost ~]#docker exec -it c1 bash
    5. [root@d6da0a6b999a /]# vi cpu.sh
    6. #!/bin/bash
    7. i=0
    8. while true
    9. do
    10. let i++
    11. done
    12. [root@d6da0a6b999a /]# chmod +x cpu.sh
    13. [root@d6da0a6b999a /]# ./cpu.sh

     

    由该结果可以看出,如果在创建容器时不限制它cpu使用的限制,是非常危险的一件事,一旦某个容器的程序异常陷入死循环,将直接导致其他容器中业务的中断 

    (2)修改默认的容器时间分片上限规则,再次创建启动测试

    1. docker start c1
    2. docker ps -a
    3. #d6da0a6b999aeaac89e2ce883b6ff057abd5f4c2319d9a539635ff8e1f43fe04为容器id
    4. cd/sys/fs/cgroup/cpu/docker/d6da0a6b999aeaac89e2ce883b6ff057abd5f4c2319d9a539635ff8e1f43fe04
    5. [root@localhost d6da0a6b999aeaac89e2ce883b6ff057abd5f4c2319d9a539635ff8e1f43fe04]#echo 50000 > cpu.cfs_quota_us

     

     

    (3)创建容器时指定容器的cpu资源占用量上限 

    1. docker run -id --name c2 --cpu-quota 30000 centos:7
    2. [root@localhost docker]#docker exec -it c2 bash
    3. [root@10cfa036ff07 /]# vim cpu.sh
    4. #!/bin/bash
    5. i=0
    6. while true
    7. do
    8. let i++
    9. done
    10. [root@10cfa036ff07 /]# vi cpu.sh
    11. [root@10cfa036ff07 /]# chmod +x cpu.sh
    12. [root@10cfa036ff07 /]# ./cpu.sh

     

     

    (4)多cpu分配容器的使用上限

    1. [root@localhost docker]#docker run -id --name c3 centos:7
    2. [root@localhost docker]#docker ps -a
    3. [root@localhost docker]#cd /sys/fs/cgroup/cpu/docker/a1ce6948cdb6167570e6ef2101bb407d7de79407fbd9b9ac737ed40487f91a5a/
    4. [root@localhost a1ce6948cdb6167570e6ef2101bb407d7de79407fbd9b9ac737ed40487f91a5a]#ls
    5. [root@localhost a1ce6948cdb6167570e6ef2101bb407d7de79407fbd9b9ac737ed40487f91a5a]#echo 200000 > cpu.cfs_quota_us

     

    1. [root@localhost ~]#docker exec -it c3 bash
    2. [root@a1ce6948cdb6 /]# vi cpu.bash
    3. #!/bin/bash
    4. i=0
    5. while true
    6. do
    7. let i++
    8. done
    9. [root@a1ce6948cdb6 /]# chmod +x ./cpu.bash
    10. [root@a1ce6948cdb6 /]# ./cpu.bash

    3.2  设置cpu资源的占用比 

    注意:该方式需要设置多个容器时才会生效 

     创建容器时可以使用选项  --cpu-shares  数值(该数值要为1024的倍数,1024代表一份,当个容器占用cpu的份额由自身分配的份数除于所有容器占用cpu的份数,就为该容器所占用cpu资源的百分比)

    进行分配

    1. [root@localhost ~]#docker run -id --name b1 --cpu-shares 2048 centos:7
    2. [root@localhost ~]#docker run -id --name b2 --cpu-shares 1024 centos:7
    3. [root@localhost ~]#docker run -id --name b3 --cpu-shares 1024 centos:7

     

    开启三个终端,启动容器压测:

    1. #三个容器均为以下压测操作
    2. #下载压测工具依赖环境
    3. yum install -y epel-release
    4. #下载压测工具
    5. yum install -y stress
    6. #进行四个线程压测
    7. stress -c 4
    8. #再开启一个终端查看测试结果
    9. docker stats

    由测试结果, 可以看到在cPU进行时间片分配的时候,容器b1比容器b2和b3多一倍的机会获得cpu的时间片。但分配的结果取决于当时主机和其他容器的运行状态,实际上也无法保证容器 b2和b3一定能获得cpu时间片

    比如容器b2和b3的进程一直是空闲的,那么容器b1是可以获取比容器b2和b3更多的cpu时间片的。极端情况下,例如主机上只运行了一个容器,即使它的cpu份额只有50,它也可以独占整个主机的cpu资源。

     Cgroups 只在容器分配的资源紧缺时,即在需要对容器使用的资源进行限制时,才会生效。因此,无法单纯根据某个容器的cpu 份额来确定有多少cpu资源分配给它,资源分配结果取决于同时运行的其他容器的CPU分配和容器中进程运行情况。

    3.3 设置容器绑定指定的cpu 

    查看主机中的cpu编号 

    1. top
    2. 按数字“1

    进行绑核创建容器 

    [root@localhost ~]#docker run -id --name b4 --cpuset-cpus 2 centos:7
    

     

    压力测试:

    1. yum install -y epel-release
    2. yum insatll -y stress
    3. stress -c 1

     

     测试结果:

    4.  内存使用的限制

     4.1 限制容器可以使用的最大内存

    m (或--memory=)选项用于限制容器可以使用的最大内存 

    1. docker run -itd --name d1 -m 512m centos:7 /bin/bash
    2. docker stats

    4.2 限制容器可用的swap 大小 

     #限制可用的swap 大小,--memory-swap  

    ●强调一下, --memory-swap是必须要与 --memory(或-m)一起使用的。

    ●正常情况下, --memory-swap 的值包含容器可用内存和可用swap 。

    ●所以 -m 300m --memory-swap=1g 的含义为:容器可以使用300M 的物理内存,并且可以使用700M (1G - 300M)的swap。  ​  设置为0或者不设置,则容器可以使用的 swap 大小为 -m 值的两倍。  如果 --memory-swap 的值和 -m 值相同,则容器不能使用swap。  如果 --memory-swap 值为 -1,它表示容器程序使用的内存受限,而可以使用的swap空间使用不受限制(宿主机有多少swap 容器就可以使用多少)。

    1.  #--memory-swap 的值包含容器可用内存和可用swap,减去-m的值才是可用swap的值。
    2.  #表示容器可以使用512M的物理内存,并且可以使用512M的swap。因为1g减去512m的物理内存,剩余值才是可用swap。
    3.  docker run -itd --name d2 -m 512m --memory-swap=1g centos:7 bash
    4.  ​
    5.  ​
    6.  #--memoryswap值和 -m 的值相同,表示容器无法使用swap
    7.  docker run -itd --name d3 -m 512m --memory-swap=512m centos:7 bash
    8.  ​
    9.  ​
    10.  # --memory-swap 的值设置为0或者不设置,则容器可以使用的 swap 大小为 -m 值的两倍。
    11.  docker run -itd --name d4 -m 512m centos:7 bash
    12.  ​
    13.  ​
    14.  # --memory-swap 值为 -1,它表示容器程序使用的内存受限,但可以使用的swap空间使用不受限制(宿主机有多少swap 容器就可以使用多少)。
    15.  docker run -itd --name d5 -m 512m --memory-swap=-1 centos:7 bash

    5. 对磁盘IO的配置控制(blkio)的限制 

    -device-read-bps:限制某个设备上的读速度bps ( 数据量),单位可以是kb、mb (M)或者gb。

    --device-write-bps : 限制某个设备上的写速度bps ( 数据量),单位可以是kb、mb (M)或者gb。

    该速度是指每秒钟进行读写操作1M,1G或者是1kb 

    --device-read-iops :限制读某个设备的iops (次数)

    --device-write-iops :限制写入某个设备的iops ( 次数)

    5.1 默认情况下容器的写速度 

    1. [root@localhost ~]#docker run -id --name e1 centos:7
    2. [root@localhost ~]#docker exec -it e1 bash
    3. [root@8657384cb483 /]# dd if=/dev/zero of=/opt/test.txt bs=10M count=5 oflag=direct
    4. ## oflag=direct 规避文件读写系统中所带来的缓存,避免影响测试结果

    5.2 进行写速度限制的容器创建 

    1. [root@localhost ~]#docker run -it --name e3 --device-write-bps /dev/sda:1M centos:7 /bin/bash
    2. [root@6c1b8bcf6b44 /]# dd if=/dev/zero of=/opt/test.out bs=10M count=5 oflag=direct

     

    6. 清除docker占用的磁盘空间

    docker system prune -a 可用于清理磁盘,删除关闭的容器、无用的数据卷和网络。 

    docker system prune -a 

     

     总结

     1.对网络模式的控制

    1. ########映射端口 -P为随机 -p为指定端口#################
    2. docker run -itd  --name=为容器指定名称 -P 镜像名称
    3. docker run -itd --name=为容器指定名称 -p 宿主机端口:容器端口 镜像名称
    4. ##############指定网络模式##########################
    5.  #使用docker' run 创建Docker容器时,可以用--net 或--network 选项指定容器的网络模式
    6.  ●host模式:使用 --net=host 指定。
    7.  ●none模式:使用 --net=none 指定。
    8.  ●container模式:使用--net=container:NAME/ID指定。
    9.  ●bridge模式:使用 --net=bridge 指定,默认设置,可省略。
    10. ############自定义网络####################################
    11. 注意:只要自定义网络在创建容器时才能指定IP(必须是自定义网段中的IP)
    12. #创建自定义网络
    13. docker network create --subnet=网段 --opt "com.docker.network.bridge.name"="网卡名" 自定义网络的名称
    14. #使用自定义网络
    15. docker run -itd --name 容器名 --net 自定义网路名 --ip 自定义网路网段范围内的IP centos:7 /bin/bash
    16. #删除自定义网络
    17. docker network rm 网络模式名称

    2.对cpu的限制参数

    1.  docker run --cpu-period     #设置调度周期时间1000~1000000
    2.             --cpu-quota      #设置容器进程的CPU占用时间,要与调度周期时间成比例
    3.             --cpu-shares    #设置多个容器之间的CPU资源占用比
    4.             --cpuset-cpus   #绑核(第一个CPU编号从0开始)

    3.对内存的限制

     -m 物理内存 [--memory-swap=总值]

    4.对磁盘IO的限制

    1.  --device-read-bps 设备文件:1mb/1M     #限制读速度
    2.  --device-write-bps 设备文件:1mb/1M    #限制写速度
    3.  --device-read-iops                   #限制读次数
    4.  --device-write-iops                  #限制写次数
    5.  ​
    6.  docker system prune -a    #清理磁盘,删除关闭的容器、无用的数据卷和网络。

  • 相关阅读:
    三步搭建个人网站并发布上线【内网穿透】
    Matlab绘制双坐标轴图示例函数yyaxis
    6 个可解锁部分 GPT-4 功能的 Chrome 扩展(无需支付 ChatGPT Plus 费用)
    UE4/UE5 虚幻引擎,Pawn的碰撞,怎么防止Pawn移动的时候穿透物体。
    什么是数据中心的测试负载?
    做一个能对标阿里云的前端APM工具(上)
    51种企业应用架构模式详解
    requests 技术问题与解决方案:解决字典值中列表在URL编码时的问题
    资源限制类题目技巧大全
    阿里二面:JVM调优你会吗?
  • 原文地址:https://blog.csdn.net/qq_62462797/article/details/127975686