CGroup 资源控制组 + Docker 网络模式

奋斗的蛋黄2025-09-02 20:26

1 CGroup 资源控制组

1.1 为什么需要 CGroup

  • 容器本质 = 宿主机上一组进程

  • 若无资源边界,一个暴走容器即可拖垮整机

  • CGroup 提供**内核级硬限制**,比 `ulimit`、`nice` 更可靠

1.2 核心概念 3 件套

| 概念 | 一句话解释 | 查看方式 |

| Hierarchy | 树形挂载点,所有子系统挂在同一点 | `mount \| grep cgroup` |

| Subsystem | 6 大资源控制器(cpu、memory ...) | `cat /proc/cgroups` |

| CGroup | 节点目录,关联一组进程 | `ls /sys/fs/cgroup/*/docker/<容器ID>` |

1.3 6 大常用子系统 & Docker CLI 映射

| Subsystem | 作用 | 文件示例 | Docker CLI |

| `cpu` | CPU 时间权重 | cpu.shares | `--cpu-shares` |

| `cpuacct` | CPU 用量统计 | cpuacct.usage | `docker stats` |

| `cpuset` | 绑定核心 | cpuset.cpus | `--cpuset-cpus` |

| `memory` | 内存 + Swap | memory.limit_in_bytes | `-m 200m` |

| `blkio` | 磁盘 I/O 限速 | blkio.throttle.* | `--device-read-bps` |

| `pids` | 最大进程数 | pids.max | `--pids-limit 100` |

1.4 实操必做

bash

1. 查看当前挂载

mount | grep cgroup

2. 查看容器 123abc 的内存上限

cat /sys/fs/cgroup/memory/docker/123abc*/memory.limit_in_bytes

3. 动态修改(root)

echo 104857600 > /sys/fs/cgroup/memory/docker/123abc*/memory.limit_in_bytes

4. 热更新(推荐)

docker update -m 200m 123abc

1.5 高频错误 & 面试考点

  • 报错: `no space left on device` → 宿主机 `pids.max` 打满

  • Swap 规则: `memory-swap` ≥ memory,设为 `-1` 表示不限 Swap

  • K8s 对应: `limits.memory` 最终仍由 CGroup memory 子系统执行

2 Docker 网络模式

2.1 五种原生网络模式速记表

| 模式 | 是否隔离 NetNS | 自动 IP | 端口映射(-p) | 场景 |

| bridge | ✅ | ✅ | ✅ | 单机默认 |

| host | ❌ | ❌ | ❌ | 追求极致性能 |

| none | ✅ | ❌ | ❌ | 自定义网络栈 |

| container | ❌(共享) | ❌ | ❌ | sidecar |

| 自定义 | ✅ | ✅ | ✅ | 微服务隔离 |

2.2 bridge 模式流量路径(文字图)

容器 → veth → docker0 → iptables NAT → 宿主机物理网卡

2.3 端口映射原理(iptables 两行规则)

bash

docker run -d -p 8080:80 nginx

  • DNAT 进入容器

-A DOCKER ! -i docker0 -p tcp --dport 8080 -j DNAT --to 172.17.0.2:80

  • SNAT 回包

-A POSTROUTING -s 172.17.0.2 -p tcp --sport 80 -j MASQUERADE

2.4 自定义网络 3 大优势

  1. 内置 DNS:容器名即可互 ping(替代 `--link`)

  2. 隔离:多网段、多环境

  3. 可配置:自定义 `--subnet`、`--ip-range`

2.5 实操:创建并使用自定义网络

bash

1. 新建网络

docker network create \

--driver bridge \

--subnet 172.20.0.0/16 \

my-net

2. 启动两容器

docker run -d --name web --network my-net nginx:alpine

docker run -it --rm --name cli --network my-net busybox

/ # ping web

2.6 overlay 跨主机网络

bash

manager

docker swarm init --advertise-addr 192.168.1.10

docker network create \

--driver overlay \

--subnet 10.0.0.0/24 \

ov-net

部署服务

docker service create --name web --network ov-net -p 80:80 nginx

  • 抓包验证 VXLAN

tcpdump -i eth0 -n udp port 4789 -w vxlan.pcap

相关推荐
sunfove18 小时前
光网络的立交桥:光开关 (Optical Switch) 原理与主流技术解析
网络
唯情于酒18 小时前
Docker学习
学习·docker·容器
喵叔哟19 小时前
20.部署与运维
运维·docker·容器·.net
Kevin Wang72720 小时前
欧拉系统服务部署注意事项
网络·windows
min18112345620 小时前
深度伪造内容的检测与溯源技术
大数据·网络·人工智能
汤愈韬21 小时前
Full Cone Nat
网络·网络协议·网络安全·security·huawei
zbtlink21 小时前
现在还需要带电池的路由器吗?是用来干嘛的?
网络·智能路由器
桌面运维家21 小时前
vDisk配置漂移怎么办?VOI/IDV架构故障快速修复
网络·架构
dalerkd21 小时前
忙里偷闲叙-谈谈最近两年
网络·安全·web安全
德育处主任1 天前
『NAS』在群晖部署一个文件加密工具-hat.sh
前端·算法·docker
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05Claude Code 2.1.2 升级报错?别折腾了,一行命令搞定06jdk21下载、安装(Windows、Linux、macOS)072025-04-03 Latex学习1——本地配置Latex + VScode环境08【踩坑笔记】50系显卡适配的 PyTorch 安装09Overleaf编译超时,超出免费计划编译时限(已解决)10UV安装并设置国内源