CGroup 资源控制组 + Docker 网络模式

奋斗的蛋黄2025-09-02 20:26

1 CGroup 资源控制组

1.1 为什么需要 CGroup

  • 容器本质 = 宿主机上一组进程

  • 若无资源边界,一个暴走容器即可拖垮整机

  • CGroup 提供**内核级硬限制**,比 `ulimit`、`nice` 更可靠

1.2 核心概念 3 件套

| 概念 | 一句话解释 | 查看方式 |

| Hierarchy | 树形挂载点,所有子系统挂在同一点 | `mount \| grep cgroup` |

| Subsystem | 6 大资源控制器(cpu、memory ...) | `cat /proc/cgroups` |

| CGroup | 节点目录,关联一组进程 | `ls /sys/fs/cgroup/*/docker/<容器ID>` |

1.3 6 大常用子系统 & Docker CLI 映射

| Subsystem | 作用 | 文件示例 | Docker CLI |

| `cpu` | CPU 时间权重 | cpu.shares | `--cpu-shares` |

| `cpuacct` | CPU 用量统计 | cpuacct.usage | `docker stats` |

| `cpuset` | 绑定核心 | cpuset.cpus | `--cpuset-cpus` |

| `memory` | 内存 + Swap | memory.limit_in_bytes | `-m 200m` |

| `blkio` | 磁盘 I/O 限速 | blkio.throttle.* | `--device-read-bps` |

| `pids` | 最大进程数 | pids.max | `--pids-limit 100` |

1.4 实操必做

bash

1. 查看当前挂载

mount | grep cgroup

2. 查看容器 123abc 的内存上限

cat /sys/fs/cgroup/memory/docker/123abc*/memory.limit_in_bytes

3. 动态修改(root)

echo 104857600 > /sys/fs/cgroup/memory/docker/123abc*/memory.limit_in_bytes

4. 热更新(推荐)

docker update -m 200m 123abc

1.5 高频错误 & 面试考点

  • 报错: `no space left on device` → 宿主机 `pids.max` 打满

  • Swap 规则: `memory-swap` ≥ memory,设为 `-1` 表示不限 Swap

  • K8s 对应: `limits.memory` 最终仍由 CGroup memory 子系统执行

2 Docker 网络模式

2.1 五种原生网络模式速记表

| 模式 | 是否隔离 NetNS | 自动 IP | 端口映射(-p) | 场景 |

| bridge | ✅ | ✅ | ✅ | 单机默认 |

| host | ❌ | ❌ | ❌ | 追求极致性能 |

| none | ✅ | ❌ | ❌ | 自定义网络栈 |

| container | ❌(共享) | ❌ | ❌ | sidecar |

| 自定义 | ✅ | ✅ | ✅ | 微服务隔离 |

2.2 bridge 模式流量路径(文字图)

容器 → veth → docker0 → iptables NAT → 宿主机物理网卡

2.3 端口映射原理(iptables 两行规则)

bash

docker run -d -p 8080:80 nginx

  • DNAT 进入容器

-A DOCKER ! -i docker0 -p tcp --dport 8080 -j DNAT --to 172.17.0.2:80

  • SNAT 回包

-A POSTROUTING -s 172.17.0.2 -p tcp --sport 80 -j MASQUERADE

2.4 自定义网络 3 大优势

  1. 内置 DNS:容器名即可互 ping(替代 `--link`)

  2. 隔离:多网段、多环境

  3. 可配置:自定义 `--subnet`、`--ip-range`

2.5 实操:创建并使用自定义网络

bash

1. 新建网络

docker network create \

--driver bridge \

--subnet 172.20.0.0/16 \

my-net

2. 启动两容器

docker run -d --name web --network my-net nginx:alpine

docker run -it --rm --name cli --network my-net busybox

/ # ping web

2.6 overlay 跨主机网络

bash

manager

docker swarm init --advertise-addr 192.168.1.10

docker network create \

--driver overlay \

--subnet 10.0.0.0/24 \

ov-net

部署服务

docker service create --name web --network ov-net -p 80:80 nginx

  • 抓包验证 VXLAN

tcpdump -i eth0 -n udp port 4789 -w vxlan.pcap

相关推荐
Reicher7 小时前
计算机网络总览
网络·计算机网络·php
winkel_wang7 小时前
从网络层接入控制过渡到应用层身份认证的过程
网络
网络安全大学堂7 小时前
【网络安全入门基础教程】网络安全就业方向(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·网络安全·程序员·编程
fatiaozhang95278 小时前
晶晨线刷工具下载及易错点说明:生成工作流程XML失败
android·xml·网络·电视盒子·刷机固件·机顶盒刷机
winkel_wang8 小时前
电脑没加域却能获取到IP地址
网络
百思可瑞教育8 小时前
Jenkins+Docker 实现一键自动化部署项目
运维·docker·容器·自动化·jenkins·北京百思可瑞教育·百思可瑞教育
gaojingsong9 小时前
Nodejs之HelloWord & Hello-Http
网络·网络协议·http
是店小二呀9 小时前
Linux | 走进网络世界:MAC、IP 与通信的那些事
linux·网络·macos
耐达讯通信技术10 小时前
耐达讯自动化Profibus集线器与机械手臂:工业仙途的双剑奇侠
网络·物联网·网络协议·自动化·信息与通信
热门推荐
01UV安装并设置国内源02Xget:下一代开源资源获取加速引擎,让你的文件下载、储存库克隆和镜像拉取快如闪电03奈飞工厂官网,国内Netflix影视在线看|中文网页电脑版入口04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05不再让Windows更新!&Edge游戏助手卸载及关闭自动更新06KGG转MP3工具|非KGM文件|解密音频07Linux下V2Ray安装配置指南08蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接09阿里Qoder AI 新开发工具,长期记忆、Wiki和Quest模式是它的独有特性10jdk21下载、安装(Windows、Linux、macOS)