CGroup 资源控制组 + Docker 网络模式

奋斗的蛋黄2025-09-02 20:26

1 CGroup 资源控制组

1.1 为什么需要 CGroup

  • 容器本质 = 宿主机上一组进程

  • 若无资源边界,一个暴走容器即可拖垮整机

  • CGroup 提供**内核级硬限制**,比 `ulimit`、`nice` 更可靠

1.2 核心概念 3 件套

| 概念 | 一句话解释 | 查看方式 |

| Hierarchy | 树形挂载点,所有子系统挂在同一点 | `mount \| grep cgroup` |

| Subsystem | 6 大资源控制器(cpu、memory ...) | `cat /proc/cgroups` |

| CGroup | 节点目录,关联一组进程 | `ls /sys/fs/cgroup/*/docker/<容器ID>` |

1.3 6 大常用子系统 & Docker CLI 映射

| Subsystem | 作用 | 文件示例 | Docker CLI |

| `cpu` | CPU 时间权重 | cpu.shares | `--cpu-shares` |

| `cpuacct` | CPU 用量统计 | cpuacct.usage | `docker stats` |

| `cpuset` | 绑定核心 | cpuset.cpus | `--cpuset-cpus` |

| `memory` | 内存 + Swap | memory.limit_in_bytes | `-m 200m` |

| `blkio` | 磁盘 I/O 限速 | blkio.throttle.* | `--device-read-bps` |

| `pids` | 最大进程数 | pids.max | `--pids-limit 100` |

1.4 实操必做

bash

1. 查看当前挂载

mount | grep cgroup

2. 查看容器 123abc 的内存上限

cat /sys/fs/cgroup/memory/docker/123abc*/memory.limit_in_bytes

3. 动态修改(root)

echo 104857600 > /sys/fs/cgroup/memory/docker/123abc*/memory.limit_in_bytes

4. 热更新(推荐)

docker update -m 200m 123abc

1.5 高频错误 & 面试考点

  • 报错: `no space left on device` → 宿主机 `pids.max` 打满

  • Swap 规则: `memory-swap` ≥ memory,设为 `-1` 表示不限 Swap

  • K8s 对应: `limits.memory` 最终仍由 CGroup memory 子系统执行

2 Docker 网络模式

2.1 五种原生网络模式速记表

| 模式 | 是否隔离 NetNS | 自动 IP | 端口映射(-p) | 场景 |

| bridge | ✅ | ✅ | ✅ | 单机默认 |

| host | ❌ | ❌ | ❌ | 追求极致性能 |

| none | ✅ | ❌ | ❌ | 自定义网络栈 |

| container | ❌(共享) | ❌ | ❌ | sidecar |

| 自定义 | ✅ | ✅ | ✅ | 微服务隔离 |

2.2 bridge 模式流量路径(文字图)

容器 → veth → docker0 → iptables NAT → 宿主机物理网卡

2.3 端口映射原理(iptables 两行规则)

bash

docker run -d -p 8080:80 nginx

  • DNAT 进入容器

-A DOCKER ! -i docker0 -p tcp --dport 8080 -j DNAT --to 172.17.0.2:80

  • SNAT 回包

-A POSTROUTING -s 172.17.0.2 -p tcp --sport 80 -j MASQUERADE

2.4 自定义网络 3 大优势

  1. 内置 DNS:容器名即可互 ping(替代 `--link`)

  2. 隔离:多网段、多环境

  3. 可配置:自定义 `--subnet`、`--ip-range`

2.5 实操:创建并使用自定义网络

bash

1. 新建网络

docker network create \

--driver bridge \

--subnet 172.20.0.0/16 \

my-net

2. 启动两容器

docker run -d --name web --network my-net nginx:alpine

docker run -it --rm --name cli --network my-net busybox

/ # ping web

2.6 overlay 跨主机网络

bash

manager

docker swarm init --advertise-addr 192.168.1.10

docker network create \

--driver overlay \

--subnet 10.0.0.0/24 \

ov-net

部署服务

docker service create --name web --network ov-net -p 80:80 nginx

  • 抓包验证 VXLAN

tcpdump -i eth0 -n udp port 4789 -w vxlan.pcap

相关推荐
AORO20255 小时前
智能三防手机哪款好?22000mAh+夜视+露营灯打造专业户外装备
服务器·网络·智能手机·电脑·1024程序员节
Hello.Reader6 小时前
Data Sink定义、参数与可落地示例
java·前端·网络
victory04317 小时前
K8S重启之后无法启动故障排查 与 修复
云原生·容器·kubernetes
报错小能手8 小时前
计算机网络自顶向下方法36——网络层 网络地址转换 网络安全(防火墙、入侵检测系统)
网络·计算机网络·智能路由器
研究司马懿9 小时前
【ETCD】ETCD常用命令
网络·数据库·云原生·oracle·自动化·运维开发·etcd
java_logo9 小时前
SGLANG Docker容器化部署指南
linux·运维·docker·容器·eureka·1024程序员节
Qayrup10 小时前
各个系统的 docker安装
运维·docker·容器
独行soc10 小时前
2025年渗透测试面试题总结-234(题目+回答)
网络·python·安全·web安全·渗透测试·1024程序员节·安全狮
代码or搬砖10 小时前
Docker 部署 Java 项目实践
java·docker·容器
蓝象_11 小时前
docker下载配置redis
redis·docker·容器
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件07《大数据技术原理与应用》实验报告三 熟悉HBase常用操作08jdk21下载、安装(Windows、Linux、macOS)09PyCharm 社区版全平台安装指南10npm使用国内淘宝镜像的方法