Docker---docker安全之容器资源控制

最新推荐文章于 2025-01-02 15:20:28 发布
最新推荐文章于 2025-01-02 15:20:28 发布
阅读量2.4k 收藏
点赞数
文章标签: docker 安全 p2p
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62341392/article/details/122380169
版权
本文详细介绍了如何通过 Docker 对容器进行 CPU、内存和块设备 I/O 资源的限制和监控。包括设置 CPU 使用份额、内存限额、swap 分区限制以及磁盘写入速率限制,并通过实例展示了这些配置对容器性能的影响。同时,讨论了资源限制在实际操作中的注意事项,如考虑主机的 swap 分区和物理内存。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、 容器资源控制

​ 1、cpu限额

 2、内存限额

​ 通过容器的方式

​3、block io限制 

 

 

 

server2:

cd
docker ps
docker run -d --name demo nginx  #运行一个容器
docker inspect  demo | grep Pid  #可以看到pid是10980,是个进程
cd /proc/
ls
cd 10980/
ls
cd ns/
ls   #可以看到有6种ns
docker run --help | grep cpu
docker run --help | grep memory
ll -d /var/lib/docker/  
#docker所有的都在这个目录里,继承超级用户的权限

一、 容器资源控制

mount -t cgroup
cd /sys/fs/cgroup/
ls
docker info 

 1、cpu限额

cd cpu
ls
docker ps
ll
cd docker/
ls
docker ps
cat cpu.shares  #默认优先级是1024
cd 49722424ac671b7d833c56e15a26656420c6e7b1ea935ece308ddd165ad3819c
ls 
#所有文件的值默认不定义的话都是从父级复制过来

pwd
cat tasks 
cat cpu.shares
lscpu   
#可以看到现在是两个cpu核心

cd
docker rm -f demo 
docker run -it --rm busybox
--/ # ls
--/ # dd if=/dev/zero of=/dev/null &  #这种方式会不断消耗cpu
--/ # ps ax

最低0.47元/天 解锁文章
芒果会飞
关注
Docker容器技术-Docker-compose使用案例.pptx
06-09
Docker容器技术是一种轻量级的虚拟化技术,它不是通过模拟硬件来隔离操作系统,而是利用Linux内核的资源隔离特性,如命名空间(Namespaces)和控制组(Cgroups),来实现应用级别的隔离。Docker容器具有启动快速、...
Docker容器回顾之运维篇
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
05-31 1940
背景 接上一篇《Docker复习之部署篇》,本文继续对Docker之日常维护常用操作做回顾总结。 操作命令 2.1 Docker 容器查看 首先,管理员对docker做日常维护,需要了解现有环境有多少docker实例,并连接进入docker实例虚拟机进行对应的管理维护; 我们执行 docker ps 命令来查看容器名称:docker ps -a或docker ps //显示当前正在运行的容器,输出如下: 参数概览: 示例: 1)显示最后被创建的容器docker ps -l //相当于 dock
Docker限制容器的Block IO
weixin_44713619的博客
04-24 4588
Block IO指的是磁盘的读写,docker可以通过设置权重以及限制bps和iops的方式控制容器读写磁盘的带宽。 通过命令 docker help run | grep -E ‘bps|IO’ 可以查询block IO的选项参数。 主要参数有: –blkio-weight:容器默认磁盘IO的加权值,有效值范围为10-1000。 –blkio-weight-device: 针对特定设备的I...
Docker资源(CPU/内存/磁盘IO/GPU)限制与分配指南
天涯的浪子
01-02 2743
cgroups其名称源自控制组群(control groups)的简写,是Linux内核的一个功能,用来限制、控制与分离一个进程组(如CPU、内存、磁盘输入输出等)。默认情况下,Docker容器是没有资源限制的,它会尽可能地使用宿主机能够分配给它的资源。如果不对容器资源进行限制,容器之间就会相互影响,一些占用硬件资源较高的容器会吞噬掉所有的硬件资源,从而导致其它容器无硬件资源可用,发生停服状态。
【云原生|Docker】04-docker资源限制
qq_43714097的博客
03-20 1717
用户内存限制就是对容器能使用的内存和交换分区的大小作出限制;主机运行若干容器,每个容器都需要cpu、内存以及IO资源,为避免因为单个容器占用过多资源而影响到所有其他容器乃至整个宿主机的性能,因此需要对容器资源进行限制。
docker安全管理(CPU限制、内存限制、Block IO限制及docker安全加固)
IT0225的博客
01-28 857
docker容器安全,很大程度上依赖于linux系统自身,评估docker安全性时,主要考虑以下几个方面 linux内核的命名空间机制提供的容器隔离安全 linux控制组机制对容器资源控制能力安全 linux内核的能力机制所带来的操作权限安全 docker程序(特别是服务端)本身的抗攻击性 其他安全增强机制对容器安全性的影响 命名空间隔离的安全 当dockr run启动一个容器时,docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过linux
Docker-compose 教程全集 PDF 53页
07-07
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器 (container)。Docker-Compose运行...
docker-compose-linux-aarch64
12-14
用户可以通过这个资源快速获取并安装Docker Compose,从而更高效地管理和部署多容器Docker应用程序。在实际操作中,了解和掌握Docker Compose的使用方法,以及如何适配不同平台,对于提升开发和运维效率至关重要。
docker-compose-linux-x86-64-2.33.0.zip
最新发布
02-17
该压缩包将包含Docker Compose的二进制文件和其他必要的资源文件,使得用户可以在其64位Linux系统上安装和使用Docker Compose 2.33.0版本。安装步骤通常包括解压缩文件、赋予执行权限、移动到系统的PATH目录下,然后...
Ubuntu docker 20.10.12版本和docker-compose离线安装包
06-21
通过这个工具,你可以执行像`docker run`、`docker build`等命令来管理和操作Docker容器。 2. `containerd.io_1.4.13-1_amd64.deb`:containerd是Docker的一部分,负责容器的运行时环境,包括容器的创建、启动、...
Docker 限制容器的 Block IO使用
01-10
前面学习了如何限制容器对内存和CPU的使用,本节我们来看 Block IO。 Block IO 是另一种可以限制容器使用的资源。Block IO 指的是磁盘的读写,docker 可通过设置权重、限制 bps 和 iops 的方式控制容器读写磁盘的带宽,下面分别讨论。 注:目前 Block IO 限额只对 direct IO(不使用文件缓存)有效。 block IO 权重 默认情况下,所有容器能平等地读写磁盘,可以通过设置--blkio-weight参数来改变容器 block IO 的优先级。 --blkio-weight与--cpu-shares类似,设置的是相对权重值,默认为 500。在下面
【云原生】Docker容器资源限制(CPU/内存/磁盘)
征服Bug的博客
07-27 6763
⽬录中包含所有与 cpu 相关的 cgroup 配置,⽂件 cpu.shares 保存的就是 --cpu-shares 的配置,值为 512。同样的,/sys/fs/cgroup/memory/docker 和 /sys/fs/cgroup/blkio/docker 中保存的是内存以及 Block IO 的 cgroup 配置。在每个容器中,我们都可以看到⽂件系统,⽹卡等资源,这些资源看上去是容器⾃⼰的。--blkio-weight 与 --cpu-shares 类似,设置的是相对权重值,默认为 500。
【记录】docker笔记(六):Docker网络-bridge网络(1)
dopapapa的博客
05-16 3124
通过上述容器间连接案例,相信已经对bridge网络有了更深刻的理解。
限制容器的 Block IO - 每天5分钟玩转 Docker 容器技术(29)
weixin_33873846的博客
06-16 253
前面学习了如何限制容器对内存和CPU的使用,本节我们来看 Block IO。 Block IO 是另一种可以限制容器使用的资源。Block IO 指的是磁盘的读写,docker 可通过设置权重、限制 bps 和 iops 的方式控制容器读写磁盘的带宽,下面分别讨论。 注:目前 Block IO 限额只对 direct IO(不使用文件缓存)有效。 block IO 权重 默认情况下,所有容器能平等...
DockerDocker资源(创建容器)CPU/内存/磁盘IO/GPU限制与分配教程
A-Itfuture的博客
03-27 2214
docker资源(创建容器)对CPU、内存、磁盘IO以及GPU的限制和自定义分配管理等方法总结......
Docker 那些事儿】如何安全地停止、删除容器
wangluoanquan111的博客
01-27 5417
Docker那些事儿】如何安全地进入到容器内部本篇文章将继续承接上一篇,讲讲如何停止、删除容器和对容器进行资源限制![在这里插入图片描述](https://img-这两篇文章,首先介绍了如何获取Docker帮助手册;然后通过大量的实验讲解了操作Docker容器的方法,包括进入、停止、删除容器等,以及容器各种状态之间如何转换;最后介绍了Docker容器资源限制,包括限制内存CPUBLOCK IO三种方法。接下来我将给各位同学划分一张学习计划表!
Docker设置容器CPU、memory、磁盘IO资源限制
cbmljs的博客
09-28 5047
Docker设置容器CPU、memory、磁盘IO资源限制
centos7下安装docker(9.3容器资源的使用限制-Block IO))
weixin_30909575的博客
10-25 120
Block IO:指的是磁盘的读写,docker 可以通过设置权重,限制bps和iops的方式控制容器读写磁盘的带宽 注:目前block IO限额只对direct IO(不使用文件缓存)有效。 1.Block IO权重:--blkio-weight,这个--blkio-weight的权重值在 10~1000之间 和容器cpu的使用机制是一致的,所有容器都可以平等的读写磁盘,可以通过--bl...
掌握Docker-compose快速编排容器集群
Docker Compose 是一个用于定义和运行多容器Docker应用程序的工具。通过一个YAML文件来配置应用程序的服务,然后使用一条命令,就可以创建并启动所有服务。这一过程可以极大地简化容器化应用的部署和管理。 Docker ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值