【Docker】Docker 网络

docker run -d --name a1 -P nginx:latest				#随机映射端口（从32768开始）
docker run -d --name a2 -p 1314:80 nginx:latest		#指定映射端口(将容器的80端口映射为宿主机的43000端口)
docker ps -a

查看容器的输出和日志信息

docker logs 容器的ID/名称

2.网络模式

Host：容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口
Container：创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围
None：该模式关闭了容器的网络功能
Bridge：默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat 表配置与宿主机通信
自定义网络

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

查看网络列表

docker network ls    
docker network list

|-----------------|------------------------------------|
| host模式 | 使用--net=host指定 |
| none模式 | 使用--net=none指定 |
| container模式 | 使用--net=container:NAME_or_ID指定 |
| bridge模式 | 使用--net=bridge指定，默认设置，可省略 |

2.1.网络模式详解

bridge

docker容器的默认网络模式。使用此模式的每个容器都有独立的网络命名空间(network

namespace)，每个容器都有独立的IP、端口范围、路由信息、iptables规则等网络资源

docker run [--network=bridge]  ....

host

使用此模式的容器与宿主机共享网络命名空间，即容器和宿主机使用同一个IP、端口范围(容器与

宿主机或其它使用host模式的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

docker run --network=host  ....

container

使用此模式的容器与指定的已存在的容器共享网络命名空间，即两个容器使用同一个IP、端口范围

(容器与指定的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

docker run --network=host  ....

none

每个容器都有独立的网络命名空间，但是容器没有自己的eth0网卡、IP、端口等，只有lo网卡。

docker run --network=none  ....

自定义网络

可以用来自定义创建一个网段、网桥、网络模式，还可以实现使用自定义网络指定容器IP来创建容

器

docker network create --subnet=自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名"  自定义网络模式名          #创建自定义网络

docker run --network=自定义网络模式名  --ip=自定义容器IP  ....                                                             #使用自定义网络指定容器IP来创建容器

二.资源控制

Docker 通过 Cgroup 来控制容器使用的资源配额，包括 CPU、内存、磁盘三大方面，基本覆盖了

常见的资源配额和使用量控制

Cgroup 是 ControlGroups 的缩写，是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用

的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制，被 LXC、docker 等很多项目用于实现进程资

源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构，I/O 或内存的分配

控制等具体的资源管理是通过该功能来实现的

1.CPU资源控制

1.1.设置CPU使用率上限

（单个容器进程能够使用）

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。

CFS默认的调度周期是100ms

我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少 CPU 时间。

使用 --cpu-period 即可设置调度周期，使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU

时间。两者可以配合使用

CFS 周期的有效范围是 1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。

而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000

docker ps -a
cd /sys/fs/cgroup/cpu/docker/1f6af5b8adae9c6bfeb5a1dfe2a33a7e6347dfd4923092b9f3ad3882f015b7f2
 
---------------------------------------------------------------------------------------------------------
#cpu.cfs_period_us：cpu分配的周期(微秒，所以文件名中用 us 表示），默认为100000。
#cpu.cfs_quota_us：表示该cgroups限制占用的时间（微秒），默认为-1，表示不限制。 如果设为50000，表示占用50000/100000=50%的CPU。
---------------------------------------------------------------------------------------------------------

下载并使用压测工具

docker pull centos:7    下载测试所用镜像
docker run -id --name a1 centos:7 bash    创建运行容器
docker ps -a
 
docker cp CentOS-Base.repo a1:/etc/yum.repos.d/   #复制阿里云镜像到a1容器中
docker exec -it a1 sh   #登录a1容器
cd /etc/yum.repos.d/
 
安装stress
yum install -y epel-release
yum install -y stress

针对新建的容器

docker run --cpu-period=单个CPU的调度周期时间(1000~1000000)  --cpu-quota=容器进程能够使用的最大CPU时间(>=1000，<=调度周期时间)

针对已存在的容器：

修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU的调度周期时间)  cpu.cfs_quota_us(容器进程能够使用的最大CPU时间)  这两个文件的值

1.2.设置CPU资源占用比

（设置多个容器时才有效）

Docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数。

#创建两个容器为 c1 和 c2，若只有这两个容器，设置容器的权重，使得c1和c2的CPU资源占比为

1/3和2/

docker run --cpu-shares=容器进程最大占用的CPU份额(值为1024的倍数)

1.3.设置容器绑定指定的CPU

docker run --cpuset-cpus CPUID[,CPUID2,....]

2.内存限制

-m(--memory=) 选项用于限制容器可以使用的最大内存

设置容器能够使用的内存和swap的上限

正常情况下，--memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为：容器可以使用 300M 的物理内存，并且可以使用 700M（1G - 300）的 swap。
 
如果 --memory-swap 设置为 0 或者 不设置，则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同，则容器不能使用 swap。
如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）。

3.磁盘IO限制

docker run --device-read-bps    磁盘设备文件路径:速率        #限制容器在磁盘上每秒读的数据量
           --device-write-bps   磁盘设备文件路径:速率        #限制容器在磁盘上每秒写的数据量
           --device-read-iops   磁盘设备文件路径:次数        #限制容器在磁盘上每秒读的次数
           --device-write-iops  磁盘设备文件路径:次数        #限制容器在磁盘上每秒写的次数
docker system prune -a			#可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络