一.docker的资源控制

1.CPU 资源控制

1.1 资源控制工具

cgroups，是一个非常强大的linux内核工具，他不仅可以限制被 namespace 隔离起来的资源， 还可以为资源设置权重、计算使用量、操控进程启停等等。 所以 cgroups（Control groups）实现了对资源的配额和度量。

1.2 cgroups有四大功能

●资源限制：可以对任务使用的资源总额进行限制
●优先级分配：通过分配的cpu时间片数量以及磁盘IO带宽大小，实际上相当于控制了任务运行优先级
●资源统计：可以统计系统的资源使用量，如cpu时长，内存用量等
●任务控制：cgroup可以对任务执行挂起、恢复等操作

1.3 设置CPU使用率上限

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。CFS默认的调度周期是100ms。
我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少 CPU 时间。

使用 --cpu-period 即可设置调度周期，使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用。
CFS 周期的有效范围是 1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。 周期100毫秒
而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000。

docker run -itd --name test5 centos:7 /bin/bash
cd /sys/fs/cgroup/cpu/docker/
ls
cd 04cebd503002e7725beb25d4424e0eaa0aaa7a8019b9050d9911607c535da896
cat cpu.cfs_quota_us

cat cpu.cfs_period_us 

注解：

cpu.cfs_period_us：cpu分配的周期(微秒，所以文件名中用 us 表示），默认为100000。
cpu.cfs_quota_us：表示该cgroups限制占用的时间（微秒），默认为-1，表示不限制。 如果设为50000，表示占用50000/100000=50%的CPU。

1.4 进行CPU压力测试

docker exec -it 1a29ed506da4 /bin/bash

vi /cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done

chmod +x /cpu.sh
./cpu.sh

#可以看到这个脚本占了很多的cpu资源
top

1.5 设置50%的比例分配CPU使用时间上限

#可以重新创建一个容器并设置限额
docker run -itd --name test6 --cpu-quota 50000 centos:7 /bin/bash
#或者进入修改
cd /sys/fs/cgroup/cpu/docker/1a29ed506da4dc4c41179b38e2175a3a5d8a02f55c833f5992536d850dc404a4/
echo 50000 > cpu.cfs_quota_us
docker exec -it 1a29ed506da4 /bin/bash
./cpu.sh

#可以看到cpu占用率接近50%，cgroups对cpu的控制起了效果
top

1.6 设置CPU资源占用比（设置多个容器时才有效）

Docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数。

1.6.1 两个容器测试cpu

（1）创建两个容器为 c1 和 c2，若只有这两个容器，设置容器的权重，使得c1和c2的CPU资源占比为1/3和2/3。

docker run -itd --name c1 --cpu-shares 512 centos:7	
docker run -itd --name c2 --cpu-shares 1024 centos:7

（2）分别进入容器，进行压力测试

c1:

docker exec -it eb2c65e90789 /bin/bash
vi /cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done

chmod +x /cpu.sh
./cpu.sh

另开终端：

c2:

docker exec -it d32f1cdfafe2 /bin/bash
vi /cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done

chmod +x /cpu.sh
./cpu.sh

另开终端

yum install -y epel-release
yum install -y stress
#产生四个进程，每个进程都反复不停的计算随机数的平方根
stress -c 4				

（3）另开终端，查看容器运行状态（动态更新）

docker stats

1.6.2 设置容器绑定指定的CPU

（1）先分配虚拟机4个CPU核数

docker run -itd --name test7 --cpuset-cpus 1,3 centos:7 /bin/bash

（2）进入容器，进行压力测试

yum install -y epel-release
yum install stress -y
stress -c 4

docker exec -it d32f1cdfafe2 /bin/bash
vi /cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done

chmod +x /cpu.sh
./cpu.sh

另开终端

（3）退出容器，执行 top 命令再按 1 查看CPU使用情况。

2．对内存使用的限制

（1）-m(–memory=) 选项用于限制容器可以使用的最大内存

docker run -itd --name test8 -m 512m centos:7 /bin/bash
docker stats

（2）限制可用的 swap 大小， --memory-swap
强调一下，–memory-swap 是必须要与 --memory 一起使用的。

正常情况下，–memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为：容器可以使用 300M 的物理内存，并且可以使用 700M（1G - 300）的 swap。

如果 --memory-swap 设置为 0 或者 不设置，则容器可以使用的 swap 大小为 -m 值的两倍。
如果 --memory-swap 的值和 -m 值相同，则容器不能使用 swap。
如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）。

3．对磁盘IO配额控制（blkio）的限制

–device-read-bps：限制某个设备上的读速度bps（数据量），单位可以是kb、mb(M)或者gb。
例：

docker run -itd --name test9 --device-read-bps /dev/sda:1M  centos:7 /bin/bash
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct	

–device-write-bps ： 限制某个设备上的写速度bps（数据量），单位可以是kb、mb(M)或者gb。

例：

docker run -itd --name test11 --device-write-bps /dev/sda:1mb centos:7 /bin/bash
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct	

–device-read-iops ：限制读某个设备的iops（次数）

–device-write-iops ：限制写入某个设备的iops（次数）

3.1 创建容器，并限制写速度

docker run -it --name test10 --device-write-bps /dev/sda:1MB centos:7 /bin/bash

#通过dd来验证写速度
#添加oflag参数以规避掉文件系统cache
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct	10+0 records in
10+0 records out
10485760 bytes (10 MB) copied, 10.0025 s, 1.0 MB/s

#清理docker占用的磁盘空间
docker system prune -a			#可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络

停止的容器已被清理

二.docker数据管理

1.为何需要docker数据管理

因为数据写入后如果停止了容器，再开启数据就会消失，使用数据管理的数据卷挂载，实现了数据的持久化，重启数据还会存在；还有一种方式，容器之间共享文件即相当于有个备份，也会解决停止容器后数据消失的问题。

2.数据管理类型

管理 Docker 容器中数据主要有两种方式：数据卷（Data Volumes）和数据卷容器（DataVolumes Containers）

3.数据卷

数据卷是一个供容器使用的特殊目录，位于容器中。可将宿主机的目录挂载到数据卷上，，对数据卷的修改操作立刻可见，并且更新数据不会影响镜像，从而实现数据在宿主机与容器之间的迁移。数据卷的使用类似于 Linux 下对目录进行的 mount 操作，可以互相同步内容

#拉取CentOS 7的Docker镜像
docker pull centos:7
#使用docker run命令来创建并运行一个基于CentOS 7镜像的容器
docker run -itd  centos:7 /bin/bash

mkdir /var/www
#宿主机创建目录
docker run -v /var/www:/data1 --name web1 -it centos:7 /bin/bash
#创建容器centos7并命名为web1.将宿主机的/var/www目录挂载到容器中的/data1卷中
# -v 选项表示容器中创建数据卷
echo "this is web1" > /data1/a.txt
exit
#数据卷中创建内容a.txt并退出
cd /var/www/
#进入宿主机的挂载目录
cat a.txt
#验证容器中数据卷内容
echo 123>abc.txt
#宿主机的挂载目录创建一个文件夹
docker start web1
docker exec -it web1   /bin/bash 
#开启web1容器并进入
ls /data1
#显示data1数据卷验证其中是否有abc.txt

4.数据卷容器

–volumes-from 要挂载那个容器名称/id号 #用于容器之间的挂载
如果需要在容器之间共享一些数据，最简单的方法就是使用数据卷容器。数据卷容器是一个普通的容器，专门提供数据卷给其他容器挂载使用。

docker run --name web3 -v /data1 -v /data2 -it centos:7 /bin/bash
#创建数据卷容器web3 并创建2个data目录
echo "this is web3" > /data1/abc.txt
echo "This is web3" > /data2/ABC.txt
#web3容器2个data下创建文件
docker run -it --volumes-from web3 --name web4 centos:7 /bin/bash
#使用 --volumes-from 来挂载 web3 容器中的数据卷到新的容器
cat /data1/abc.txt
cat /data2/ABC.txt

5.容器的互联

容器互联是通过容器的名称在容器间建立一条专门的网络通信隧道。简单点说，就是会在源容器和接收容器之间建立一条隧道，接收容器可以看到源容器指定的信息。

docker run -itd -P --name web01 centos:7 /bin/bash
#创建并运行源容器取名web1
docker run -itd -P --name web03 --link web01:web01 centos:7 /bin/bash、
#创建并运行接收容器取名web2，使用--link选项指定连接容器以实现容器互联

#进入web03容器
docker exec -it web03 /bin/bash
ping 90fd4a7ad12f

#查看web01的地址
docker inspect web01

#进入web03pingweb01的IP地址
ping 172.17.0.5

docker故障

故障：由于docker容器故障导致大量日志集满，会造成磁盘空间满
解决方案
1、清除日志

#!/bin/bash
logs=$ (find /var/lib/docker/containers/ -name *-json.log*)
for log in $logs
do
cat /dev/null > $log
done

2、当日志占满之后如何处理
设置docker日志文件数量及每个日志大小

 vim /etc/docker/daemon.json
{
"registry-mirrors": ["http://f613ce8f.m.daocloud.io"]，
"log-driver": "json-file",   #我的一日志格式
"log-opts": { "max-size" : "500m", "max-file" : "3"}   #日志的参数最大500M   我最大容器中有三个日志文件 每个日志文件大小是500M
}

#修改完需要重新加载  
systemctl daemon-reload