目录
一.Dockef网络
1.实现原理
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根
据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默
认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的
Container-IP 直接通信
Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也
意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到,可
以通过映射容器端口到宿主主机(端口映射),即 docker run 创建容器时候通过 -p 或 -P 参数来
启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器
docker run -d --name a1 -P nginx:latest #随机映射端口(从32768开始)
docker run -d --name a2 -p 1314:80 nginx:latest #指定映射端口(将容器的80端口映射为宿主机的43000端口)
docker ps -a查看容器的输出和日志信息
docker logs 容器的ID/名称2.网络模式
- Host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口
- Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围
- None:该模式关闭了容器的网络功能
- Bridge:默认为该模式,此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及iptables nat 表配置与宿主机通信
- 自定义网络
安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host
查看网络列表
docker network ls
docker network list |-----------------|------------------------------------|
| host模式 | 使用--net=host指定 |
| none模式 | 使用--net=none指定 |
| container模式 | 使用--net=container:NAME_or_ID指定 |
| bridge模式 | 使用--net=bridge指定,默认设置,可省略 |
2.1.网络模式详解
- bridge
docker容器的默认网络模式。使用此模式的每个容器都有独立的网络命名空间(network
namespace),每个容器都有独立的IP、端口范围、路由信息、iptables规则等网络资源
docker run [--network=bridge] ....
- host
使用此模式的容器与宿主机共享网络命名空间,即容器和宿主机使用同一个IP、端口范围(容器与
宿主机或其它使用host模式的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。
docker run --network=host ....
- container
使用此模式的容器与指定的已存在的容器共享网络命名空间,即两个容器使用同一个IP、端口范围
(容器与指定的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。
docker run --network=host ....- none
每个容器都有独立的网络命名空间,但是容器没有自己的eth0网卡、IP、端口等,只有lo网卡。
docker run --network=none ....- 自定义网络
可以用来自定义创建一个网段、网桥、网络模式,还可以实现使用自定义网络指定容器IP来创建容
器
docker network create --subnet=自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名" 自定义网络模式名 #创建自定义网络
docker run --network=自定义网络模式名 --ip=自定义容器IP .... #使用自定义网络指定容器IP来创建容器二.资源控制
Docker 通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了
常见的资源配额和使用量控制
Cgroup 是 ControlGroups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用
的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制,被 LXC、docker 等很多项目用于实现进程资
源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配
控制等具体的资源管理是通过该功能来实现的
1.CPU资源控制
1.1.设置CPU使用率上限
(单个容器进程能够使用)
Linux通过CFS(Completely Fair Scheduler,完全公平调度器)来调度各个进程对CPU的使用。
CFS默认的调度周期是100ms
我们可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少 CPU 时间。
使用 --cpu-period 即可设置调度周期,使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU
时间。两者可以配合使用
CFS 周期的有效范围是 1ms~1s,对应的 --cpu-period 的数值范围是 1000~1000000。
而容器的 CPU 配额必须不小于 1ms,即 --cpu-quota 的值必须 >= 1000
docker ps -a
cd /sys/fs/cgroup/cpu/docker/1f6af5b8adae9c6bfeb5a1dfe2a33a7e6347dfd4923092b9f3ad3882f015b7f2
---------------------------------------------------------------------------------------------------------
#cpu.cfs_period_us:cpu分配的周期(微秒,所以文件名中用 us 表示),默认为100000。
#cpu.cfs_quota_us:表示该cgroups限制占用的时间(微秒),默认为-1,表示不限制。 如果设为50000,表示占用50000/100000=50%的CPU。
---------------------------------------------------------------------------------------------------------下载并使用压测工具
docker pull centos:7 下载测试所用镜像
docker run -id --name a1 centos:7 bash 创建运行容器
docker ps -a
docker cp CentOS-Base.repo a1:/etc/yum.repos.d/ #复制阿里云镜像到a1容器中
docker exec -it a1 sh #登录a1容器
cd /etc/yum.repos.d/
安装stress
yum install -y epel-release
yum install -y stress针对新建的容器
docker run --cpu-period=单个CPU的调度周期时间(1000~1000000) --cpu-quota=容器进程能够使用的最大CPU时间(>=1000,<=调度周期时间)针对已存在的容器:
修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU的调度周期时间) cpu.cfs_quota_us(容器进程能够使用的最大CPU时间) 这两个文件的值1.2.设置CPU资源占用比
(设置多个容器时才有效)
Docker 通过 --cpu-shares 指定 CPU 份额,默认值为1024,值为1024的倍数。
#创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为
1/3和2/
docker run --cpu-shares=容器进程最大占用的CPU份额(值为1024的倍数)1.3.设置容器绑定指定的CPU
docker run --cpuset-cpus CPUID[,CPUID2,....]2.内存限制
-m(--memory=) 选项用于限制容器可以使用的最大内存
设置容器能够使用的内存和swap的上限
正常情况下,--memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为:容器可以使用 300M 的物理内存,并且可以使用 700M(1G - 300)的 swap。
如果 --memory-swap 设置为 0 或者 不设置,则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同,则容器不能使用 swap。
如果 --memory-swap 值为 -1,它表示容器程序使用的内存受限,而可以使用的 swap 空间使用不受限制(宿主机有多少 swap 容器就可以使用多少)。3.磁盘IO限制
docker run --device-read-bps 磁盘设备文件路径:速率 #限制容器在磁盘上每秒读的数据量
--device-write-bps 磁盘设备文件路径:速率 #限制容器在磁盘上每秒写的数据量
--device-read-iops 磁盘设备文件路径:次数 #限制容器在磁盘上每秒读的次数
--device-write-iops 磁盘设备文件路径:次数 #限制容器在磁盘上每秒写的次数
docker system prune -a #可以用于清理磁盘,删除关闭的容器、无用的数据卷和网络