系统进程资源限制以及Docker容器资源限制

最新推荐文章于 2025-04-21 08:30:00 发布
最新推荐文章于 2025-04-21 08:30:00 发布
阅读量376 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zcx1203/article/details/90750988
版权
本文探讨了如何查看和设置Docker容器的内存和CPU限制,以确保资源的有效管理和隔离。同时,也讨论了针对用户资源的限制以及增强容器的安全隔离措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

查看容器内存限制

[root@server1 memory]# docker run -it --name vm1 ubuntu

[root@server1 docker]# pwd
/sys/fs/cgroup/memory/docker

[root@server1 docker]# cd 1ed2c24597bd15280779279f459a6c9ae8777ed807cd623f537c3a5f5ad46c44/
[root@server1 1ed2c24597bd15280779279f459a6c9ae8777ed807cd623f537c3a5f5ad46c44]# cat memory.limit_in_bytes 
9223372036854771712

查看cpu限制并更改

cpu.cfs_period_us 就是时间周期,默认为 100000,即百毫秒。
cpu.cfs_quota_us 就是在这期间内可使用的 cpu 时间,默认 -1,即无限制

[root@server1 cpu]# pwd
/sys/fs/cgroup/cpu
[root@server1 cpu]# mkdir x1
[root@server1 cpu]# cd x1/
[root@server1 x1]# ls
cgroup.clone_children  cpuacct.usage_percpu  cpu.shares
cgroup.event_control   cpu.cfs_period_us     cpu.stat
cgroup.procs           cpu.cfs_quota_us      notify_on_release
cpuacct.stat           cpu.rt_period_us      tasks
cpuacct.usage          cpu.rt_runtime_us
[root@server1 x1]# cat cpu.cfs_period_us 
100000
[root@server1 x1]# cat cpu.cfs_quota_us 
-1


查看是否使用cpu 

[root@server1 cpu]# pwd
/sys/devices/system/cpu
[root@server1 cpu]# cd cpu0/
[root@server1 cpu0]# cat online    ##置0可关闭
1

[root@server1 x1]# echo 20000 > cpu.cfs_quota_us 
[root@server1 x1]# dd if=/dev/zero of=/dev/null &
[1] 2588
[root@server1 x1]# top
 2588 root      20   0  107940    604    516 R 99.7  0.1   0:10.23 dd 
[root@server1 x1]# echo 2588 > tasks 
[root@server1 x1]# top 
 2588 root      20   0  107940    604    516 R 20.0  0.1   0:42.28 dd

内存限制

memory.memsw.limit_in_bytes:内存+swap空间使用的总量限制。 
memory.limit_in_bytes:内存使用量限制

[root@server1 memory]# mkdir x2
[root@server1 x2]# pwd
/sys/fs/cgroup/memory/x2

[root@server1 x2]# cat memory.limit_in_bytes 
9223372036854771712
[root@server1 x2]# echo 314572800 > memory.limit_in_bytes 
[root@server1 x2]# cd /dev/shm/
[root@server1 shm]# ls
[root@server1 shm]# dd if=/dev/zero of=bigfile bs=1M count=400
400+0 records in
400+0 records out
419430400 bytes (419 MB) copied, 0.244224 s, 1.7 GB/s
发现无法限制

[root@server1 shm]# yum search cgroup
[root@server1 shm]# yum install libcgroup-tools.x86_64 -y
[root@server1 shm]# free -m
              total        used        free      shared  buff/cache   available
Mem:            992         125         525           7         341         710
Swap:          1023           5        1018
[root@server1 shm]# cgexec -g memory:x2 dd if=/dev/zero of=bigfile bs=1M count=400
400+0 records in
400+0 records out
419430400 bytes (419 MB) copied, 0.245783 s, 1.7 GB/s
[root@server1 shm]# free -m
              total        used        free      shared  buff/cache   available
Mem:            992         129         226         301         636         410
Swap:          1023         111         912



[root@server1 shm]# cd /sys/fs/cgroup/memory/x2/
[root@server1 x2]# cat memory.memsw.limit_in_bytes 
9223372036854771712

[root@server1 shm]# rm -f bigfile 
[root@server1 x2]# echo 314572800 > memory.memsw.limit_in_bytes

[root@server1 shm]# cgexec -g memory:x2 dd if=/dev/zero of=bigfile bs=1M count=400
Killed
[root@server1 shm]# du bigfile 
306076	bigfile

容器资源限制
限制cpu

[root@server1 cgroup]# docker run -it --name vm2 --cpu-period=100000 --cpu-quota=20000 ubuntu
root@1ba4794048a9:/# [root@server1 cgroup]# 
[root@server1 cgroup]# docker con
config     container  
[root@server1 cgroup]# docker container attach vm2
root@1ba4794048a9:/# 
root@1ba4794048a9:/# dd if=/dev/zero of=/dev/null &
[1] 15
root@1ba4794048a9:/# top
   15 root      20   0    4368    356    280 R 20.3  0.0   0:02.56 dd

[root@server1 1ba4794048a9e0a013a5c61f43e2230c0172fe03779dc32a6b3d06b3f32cce56]# cat cpu.cfs_quota_us 
20000
[root@server1 ~]# docker rm -f vm2
vm2

限制内存

[root@server1 ~]# docker run -it --name vm2 --memory=300M --memory-swap=300M ubuntu

用户的资源限制

[root@server1 ~]# useradd devops
[root@server1 ~]# vim /etc/cgrules.conf 
devops          memory          x2/
[root@server1 ~]# systemctl start cgred

增加隔离性

[root@server1 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm  -y
[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
[root@server1 lxcfs]# cd 
[root@server1 ~]# lxcfs /var/lib/lxcfs/ &
[1] 4322
[root@server1 ~]# hierarchies:
  0: fd:   5: net_prio,net_cls
  1: fd:   6: devices
  2: fd:   7: blkio
  3: fd:   8: freezer
  4: fd:   9: pids
  5: fd:  10: perf_event
  6: fd:  11: memory
  7: fd:  12: cpuset
  8: fd:  13: cpuacct,cpu
  9: fd:  14: hugetlb
 10: fd:  15: name=systemd
[root@server1 ~]# cd /var/lib/lxcfs/
[root@server1 lxcfs]# ls
cgroup  proc
[root@server1 lxcfs]# cd proc/
[root@server1 proc]# ls
cpuinfo  diskstats  meminfo  stat  swaps  uptime
[root@server1 proc]# docker run -it -m 300m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> ubuntu
root@96ee0e188f91:/# free -m
             total       used       free     shared    buffers     cached
Mem:           300          1        298        191          0          0
-/+ buffers/cache:          0        299
Swap:          300          0        300

容器用户权限设置

[root@server1 proc]# docker rm -f vm1
vm1
[root@server1 proc]# docker run -it --name vm1 --privileged=true ubuntu
root@f5feba179d76:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
15: eth0@if16: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
root@f5feba179d76:/# ip link set down eth0
root@f5feba179d76:/# ipaddr
bash: ipaddr: command not found
root@f5feba179d76:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
15: eth0@if16: <BROADCAST,MULTICAST> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

因为--privileged=true 权限太大
使用权限白名单机制--cap-add
[root@server1 proc]# docker run -it --cap-add=NET_ADMIN --name vm1 ubuntu
Docker资源限制
szb521的博客
07-09 694
dockers资源限制
Docker容器CPU、memory资源限制
L08130421的博客
08-12 1502
Docker资源限制和隔离完全基于 Linux cgroups。对 CPU 资源限制方式也和 cgroups 相同。Docker 提供的 CPU 资源限制选项可以在多核系统限制容器能利用哪些 vCPU。而对容器最多能使用的 CPU 时间有两种限制方式:一是有多个 CPU 密集型的容器竞争 CPU 时,设置各个容器能使用的 CPU 时间相对比例。二是以绝对的方式设置容器在每个调度周期内最多能使用的 CPU 时间。
Docker 运行时资源限制
小六的昵称已被使用
02-25 511
title: Docker 运行时资源限制 categories: Docker tags: - Docker timezone: Asia/Shanghai date: 2019-02-25 Docker 运行时资源限制 一个 docker host 上会运行若干容器,每个容器都需要 CPU、内存和 IO 资源。对于 KVM,VMware 等虚拟化技术,用户可以控制分配多少 CPU、内存资源给...
docker容器资源限制
zhongyoubing的博客
12-22 866
1. 限制容器使用的CPU share 容器默认CPU share为1024。假设机器有4个CPU核,使用stress进行测试。 # root身份 docker run -it --rm --cpuset-cpus="1,2,3,4" stress --cpu 4 这里 --cpu 4 是stress参数,第二个容器设置share为512 docker run --rm -...
Docker--限制容器资源使用
小李学不完的博客
05-02 4690
容器所用内存资源限制、用户内存限制、内核内存限制、设置内存预留实现软限制容器所用CPU资源限制:CPU份额限制、CPU周期限制、CPU放置限制、CPU配额限制容器所y用块I/O宽带限制:设置块I/O权重、限制设备读写速率。资源限制的实现机制。示例:验证分析容器资源限制的实现机制、动态更改容器资源限制
Docker 容器资源限制详解
最新发布
04-21 498
在使用 Docker 运行容器化应用时,合理配置资源限制可以避免单个容器占用过多主机资源,保证系统整体稳定性。合理设置容器资源限制容器编排、自动化运维中的关键一环。借助 Docker资源控制参数,可以有效防止系统资源被耗尽,提高系统整体可用性和稳定性。
Docker容器资源限制(markdown文档教程).md
09-19
本文介绍了在Docker环境中对容器进行资源限制的多种方法,包括在`docker run`命令中直接设置参数,以及在`Dockerfile`和`docker-compose.yml`文件中配置相关参数。通过这些方法,我们可以有效地控制容器对CPU和内存...
Docker容器内存限制
静水深流
06-20 1229
目前,该容器只使用了 61.38MiB 内存,限制为 512MiB。打开另一个终端窗口,执行 docker stats stress-test 命令,观察所有正在运行的 Docker 容器资源消耗情况。容器的一个重要功能之一,除了封装应用程序进程之外,还可以限制单个容器最多可以消耗的资源。前面的命令创建了三个子进程,它们将 使用malloc() 分配内存,直到系统内存耗尽,从而对系统内存造成压力。在运行 Docker stats 的终端中,观察 MEM USAGE 的值如何接近但从未超过 LIMIT。
linux进程资源限制io带宽,Docker 容器资源限制 cgroup(九)
weixin_42404710的博客
05-01 1068
一、cgroup简介docker 通过 cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面,基本覆盖了常见的资源配额和使用量控制。cgroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 cpu、memory、磁盘IO等等) 的机制,被 LXC、docker 等很多项目用于实现进程资源控制。cgrou...
Docker资源限制
misakivv的博客
06-08 1148
Docker资源限制(从容器的内存限制、CPU限制、块I/O带宽限制三个角度分析)
Docker运维教程(4)docker容器资源限制
weixin_42073629的博客
05-20 1337
Docker的默认配置中是没有对容器资源限制的,在容器发生异常的状况下有可能耗光宿主机所有资源导致OOM,OOM一旦发生任何进程都有可能被系统杀掉。所以在启动Docker容器时最好是指定CPU、内存、硬盘大小等硬件配额。Docker通过cgroup来控制这些资源配额,也就是说下面讲到的命令其实都是在配置cgroup。比如调整了CPU的限制后,在/sys/fs/cgroup/cpu/docker/container_id/可以看到设置的值。cgroup分配的结果取决于当时主机和其他容器的运行状况,如果A容
docker 资源限制
凤凰涅槃而生
05-12 1977
docker 限制Docker是一个开源的应用容器引擎,允许开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙盒机制,相互之间不会有任何接口。在进行资源管理和限制方面,Docker提供了多种机制来限制容器资源使用,包括CPU、内存、磁盘I/O以及网络带宽。
【云原生】Docker容器资源限制(CPU 内存 磁盘)_docker限制cpu和内存
2401_89308178的博客
12-09 1477
其含义是允许该容器最多使⽤ 200M 的内存和 100M 的 swap。默认情况下,上⾯两组参数为 -1,即对容器内存 和 swap 的使⽤没有限制。下⾯我们将使⽤ progrium/stress 镜像来学习如何为容器分配内存。该镜像可⽤于对容器执⾏压⼒测试。注意:分配的内存超过限额,stress线程报错,容器退出。容器最多使⽤ 200M 物理内存和 200M swap。
Docker容器资源限制与优化全攻略:CPU、内存、磁盘IO一网打尽
热门推荐
博客虽小,世界尽在其中
03-02 1万+
随着容器技术的广泛应用,对容器资源的有效限制与优化变得至关重要。本文详细探讨了容器资源限制与优化的核心方面,包括CPU、内存和磁盘IO等关键资源的管理。首先,文章介绍了容器资源限制的重要性,包括保障系统稳定性、提高资源利用率以及确保多租户环境下的公平性。随后,文章深入剖析了CPU、内存和磁盘IO等资源限制方法,包括使用配额、权重、上限等机制进行精细化管理。
限制容器中的进程
认知 行动 坚持
09-08 1842
限制容器中的进程
Docker轻松狂欢,限制容器资源大揭秘!
ouyangzhenxin的博客
08-15 370
引言在本篇文章中,我将为大家分享在Linux上如何通过Docker限制一个容器的内存大小、CPU占用等系统资源的方法,并给出实战案例。如果你对Docker资源管理感兴趣的话,快来跟着我一起解锁这个小技巧吧!要求环境在开始之前,你需要确保已经安装了Docker并且掌握了基本的Docker命令。这样才能更好地理解和实践本文的内容。实战案例限制容器的内存大小通过在创建容器时使用-m参数,我们可以限制容...
掌握Docker系统资源限制技巧
在讲解了如何限制Docker容器资源后,马永亮讲师还会介绍如何通过实际操作来验证资源限制的效果。这包括使用系统监控工具来观察容器限制后的CPU和内存使用情况,以及如何进行压力测试,确保资源限制能够有效防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值