Docker 网络与Cgroup资源限制

目录

一、Docker 网络实现原理：

二、Docker 的网络模式：

三、网络模式详解：

 1. host模式：

 2. container模式：

 3. none模式:

4．bridge模式:

 5．自定义网络:

四、Cgroup资源控制：

 1．CPU 资源控制：

  1.1 设置CPU使用率上限：

  设置50%的比例分配CPU使用时间上限

  1.2 设置CPU资源占用比（设置多个容器时才有效）：

  1.3 设置容器绑定指定的CPU：

2．对内存使用的限制:

   示例：

3．对磁盘IO配额控制（blkio）的限制:

     #创建容器，并限制写速度

---

一、Docker 网络实现原理：

  Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。

  Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

docker run -d --name c1 -P nginx:wzw   #随机映射端口（从32769开始）docker run -d --name c2 -p 1314:80 nginx:wzw    #指定映射端口

#查看容器的输出和日志信息
docker logs 容器的ID/名称

二、Docker 的网络模式：

●Host：容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。
●Container：创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围。
●None：该模式关闭了容器的网络功能。
●Bridge：默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat 表配置与宿主机通信。
●自定义网络

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

使用docker run创建Docker容器时，可以用 --net 或 --network 选项指定容器的网络模式

●host模式：使用 --net=host 指定。
●none模式：使用 --net=none 指定。
●container模式：使用 --net=container:NAME_or_ID 指定。
●bridge模式：使用 --net=bridge 指定，默认设置，可省略。

三、网络模式详解：

 1. host模式：

相当于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立IP地址。
Docker使用了Linux的Namespaces技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等。
一个Network Namespace提供了一份独立的网络环境，包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。 一个Docker容器一般会分配一个独立的Network Namespace。 但如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace， 而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡、配置自己的IP等，而是使用宿主机的IP和端口。
总结：与宿主机共享Network   Namespace

 2. container模式：

• 新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。
• 新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。
• 两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

docker run -itd --name c1 centos:7 /bin/bash
#基于镜像centos:7创建一个名为test1的容器docker inspect -f '{{.State.Pid}}' c1
#查看容器的pid号ls -l /proc/pid号/ns
#查看该容器的命名空间编号docker run -itd --name c2 --net=container:c1 centos:7
#创建c2容器，使用container模式，和c1共享network namespacedcoker inspect -f '{{.State.Pid}}' c2
#查看test2容器的pidls -l /proc/pid号/ns
#查看该容器的命令空间编号

 3. none模式:

使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。 也就是说，这个Docker容器没有网卡、IP、路由等信息。这种网络模式下容器只有lo回环网络，没有其他网卡。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性。

4．bridge模式:

bridge模式是docker的默认网络模式，不用--net参数，就是bridge模式。

相当于Vmware中的 nat 模式，容器使用独立network Namespace，并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的 Docker 容器连接到一个虚拟网桥上。    

（1）当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。

（2）从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。 veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。

（3）Docker将 veth pair 设备的一端放在新创建的容器中，并命名为 eth0（容器的网卡），另一端放在主机中， 以 veth* 这样类似的名字命名， 并将这个网络设备加入到 docker0 网桥中。可以通过 brctl show 命令查看。

（4）使用 docker run -p 时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL 查看。

 5．自定义网络:

    可以先自定义网络，再使用指定IP运行docker

查看网卡：
docker network ls删除：
docker network rm id/名称

四、Cgroup资源控制：

Docker 通过 Cgroup 来控制容器使用的资源配额，包括 CPU、内存、磁盘三大方面， 基本覆盖了常见的资源配额和使用量控制。
Cgroup 是 ControlGroups 的缩写，是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制，被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构，I/O 或内存的分配控制等具体的资源管理是通过该功能来实现的。

 1．CPU 资源控制：

  1.1 设置CPU使用率上限：

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。CFS默认的调度周期是100ms。
我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少 CPU 时间。

• 使用 --cpu-period 即可设置调度周期，使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用。
• CFS 周期的有效范围是 1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。
• 而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000。

docker run -itd --name a1 centos:7 bin/bashcd /sys/fs/cgroup/cpu/docker/61b36b4accbaefb62f7dfa215ccabe85a34b2080910ac1676a574747ad8cdd2c cat cpu.cfs_period_uscat cpu.cfs_quota_us 

#cpu.cfs_period_us：cpu分配的周期(微秒，所以文件名中用 us 表示），默认为100000。
#cpu.cfs_quota_us：表示该cgroups限制占用的时间（微秒），默认为-1，表示不限制。 如果设为50000，表示占用50000/100000=50%的CPU。

  设置50%的比例分配CPU使用时间上限

docker run -itd --name a2 --cpu-quota 50000 centos:7 /bin/bash	
#可以重新创建一个容器并设置限额或者直接对a1进行限制
cd /sys/fs/cgroup/cpu/docker/a1对应的路径/
echo 50000 > cpu.cfs_quota_us

  1.2 设置CPU资源占用比（设置多个容器时才有效）：

  Docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数。

docker run -itd --name c1 --cpu-shares 512 centos:7	
docker run -itd --name c2 --cpu-shares 1024 centos:7docker stats ##查看容器运行状态

可以看到在 CPU 进行时间片分配的时候，容器 c2 比容器 c1 多一倍的机会获得 CPU 的时间片。
但分配的结果取决于当时主机和其他容器的运行状态， 实际上也无法保证容器 c1 一定能获得 CPU 时间片。比如容器 c1 的进程一直是空闲的，那么容器 c2 是可以获取比容器 c1 更多的 CPU 时间片的。极端情况下，例如主机上只运行了一个容器，即使它的 CPU 份额只有 50，它也可以独占整个主机的 CPU 资源。

Cgroups 只在容器分配的资源紧缺时，即在需要对容器使用的资源进行限制时，才会生效。因此，无法单纯根据某个容器的 CPU 份额来确定有多少 CPU 资源分配给它，资源分配结果取决于同时运行的其他容器的 CPU 分配和容器中进程运行情况。

  1.3 设置容器绑定指定的CPU：

   #先分配虚拟机4个CPU核数

docker run -itd --name a3 --cpuset-cpus 1,3 centos:7 /bin/bash

2．对内存使用的限制:

//-m(--memory=) 选项用于限制容器可以使用的最大内存

docker run -itd --name a4 -m 512m centos:7 /bin/bash

docker stats

  //限制可用的 swap 大小， --memory-swap
强调一下，--memory-swap 是必须要与 --memory 一起使用的。

正常情况下，--memory-swap 的值包含容器可用内存和可用 swap。
所以 -m 300m --memory-swap=1g 的含义为：容器可以使用 300M 的物理内存，并且可以使用 700M（1G - 300）的 swap。

   示例：

docker run -itd --name a4 -m 512m --memory-swap 512m centos:7 /bin/bash

• 如果 --memory-swap 设置为 0 或者 不设置，则容器可以使用的 swap 大小为 -m 值的两倍。
• 如果 --memory-swap 的值和 -m 值相同，则容器不能使用 swap。
• 如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）。

3．对磁盘IO配额控制（blkio）的限制:

--device-read-bps：限制某个设备上的读速度bps（数据量），单位可以是kb、mb(M)或者gb。

例：docker run -itd --name a5 --device-read-bps /dev/sda:1M  centos:7 /bin/bash

--device-write-bps ： 限制某个设备上的写速度bps（数据量），单位可以是kb、mb(M)或者gb。

例：docker run -itd --name a6 --device-write-bps /dev/sda:1mb centos:7 /bin/bash

--device-read-iops ：限制读某个设备的iops（次数）
 
--device-write-iops ：限制写入某个设备的iops（次数）

     #创建容器，并限制写速度

docker run -it --name a5 --device-write-bps /dev/sda:1mb centos:7 /bin/bash#通过dd来验证写速度
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct                
#添加oflag参数以规避掉文件系

#清理docker占用的磁盘空间
docker system prune -a            #可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络