【Docker】Docker 网络

-山海皆可平 2024-07-29 17:07:03 阅读 55

目录

一.Dockef网络

1.实现原理

2.网络模式

2.1.网络模式详解

二.资源控制

1.CPU资源控制

1.1.设置CPU使用率上限

1.2.设置CPU资源占用比

1.3.设置容器绑定指定的CPU

2.内存限制

3.磁盘IO限制


一.Dockef网络

1.实现原理

Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根

据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默

认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的

Container-IP 直接通信

Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也

意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到,可

以通过映射容器端口到宿主主机(端口映射),即 docker run 创建容器时候通过 -p 或 -P 参数来

启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器

 

<code>docker run -d --name a1 -P nginx:latest#随机映射端口(从32768开始)

docker run -d --name a2 -p 1314:80 nginx:latest#指定映射端口(将容器的80端口映射为宿主机的43000端口)

docker ps -a

查看容器的输出和日志信息

docker logs 容器的ID/名称

2.网络模式

Host:容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口Container:创建的容器不会创建自己的网卡,配置自己的IP,而是和一个指定的容器共享IP、端口范围None:该模式关闭了容器的网络功能Bridge:默认为该模式,此模式会为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,通过docker0网桥以及iptables nat 表配置与宿主机通信自定义网络

安装Docker时,它会自动创建三个网络,bridge(创建容器默认连接到此网络)、 none 、host

查看网络列表

docker network ls    

docker network list      

host模式 使用–net=host指定
none模式 使用–net=none指定
container模式 使用–net=container:NAME_or_ID指定
bridge模式 使用–net=bridge指定,默认设置,可省略

2.1.网络模式详解

bridge

docker容器的默认网络模式。使用此模式的每个容器都有独立的网络命名空间(network

namespace),每个容器都有独立的IP、端口范围、路由信息、iptables规则等网络资源

<code>docker run [--network=bridge] ....

host

使用此模式的容器与宿主机共享网络命名空间,即容器和宿主机使用同一个IP、端口范围(容器与

宿主机或其它使用host模式的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

<code>docker run --network=host ....

container

使用此模式的容器与指定的已存在的容器共享网络命名空间,即两个容器使用同一个IP、端口范围

(容器与指定的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

<code>docker run --network=host ....

none

每个容器都有独立的网络命名空间,但是容器没有自己的eth0网卡、IP、端口等,只有lo网卡。

docker run --network=none ....

自定义网络

可以用来自定义创建一个网段、网桥、网络模式,还可以实现使用自定义网络指定容器IP来创建容

docker network create --subnet=自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名" 自定义网络模式名 #创建自定义网络

docker run --network=自定义网络模式名 --ip=自定义容器IP .... #使用自定义网络指定容器IP来创建容器

二.资源控制

Docker 通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了

常见的资源配额和使用量控制

Cgroup 是 ControlGroups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用

的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制,被 LXC、docker 等很多项目用于实现进程资

源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构,I/O 或内存的分配

控制等具体的资源管理是通过该功能来实现的

1.CPU资源控制

1.1.设置CPU使用率上限

(单个容器进程能够使用)

Linux通过CFS(Completely Fair Scheduler,完全公平调度器)来调度各个进程对CPU的使用。

CFS默认的调度周期是100ms

我们可以设置每个容器进程的调度周期,以及在这个周期内各个容器最多能使用多少 CPU 时间。

使用 --cpu-period 即可设置调度周期,使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU

时间。两者可以配合使用

CFS 周期的有效范围是 1ms~1s,对应的 --cpu-period 的数值范围是 1000~1000000。

而容器的 CPU 配额必须不小于 1ms,即 --cpu-quota 的值必须 >= 1000

docker ps -a

cd /sys/fs/cgroup/cpu/docker/1f6af5b8adae9c6bfeb5a1dfe2a33a7e6347dfd4923092b9f3ad3882f015b7f2

---------------------------------------------------------------------------------------------------------

#cpu.cfs_period_us:cpu分配的周期(微秒,所以文件名中用 us 表示),默认为100000。

#cpu.cfs_quota_us:表示该cgroups限制占用的时间(微秒),默认为-1,表示不限制。 如果设为50000,表示占用50000/100000=50%的CPU。

---------------------------------------------------------------------------------------------------------

下载并使用压测工具

docker pull centos:7 下载测试所用镜像

docker run -id --name a1 centos:7 bash 创建运行容器

docker ps -a

docker cp CentOS-Base.repo a1:/etc/yum.repos.d/ #复制阿里云镜像到a1容器中

docker exec -it a1 sh #登录a1容器

cd /etc/yum.repos.d/

安装stress

yum install -y epel-release

yum install -y stress

针对新建的容器

docker run --cpu-period=单个CPU的调度周期时间(1000~1000000) --cpu-quota=容器进程能够使用的最大CPU时间(>=1000,<=调度周期时间)

针对已存在的容器:

修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU的调度周期时间) cpu.cfs_quota_us(容器进程能够使用的最大CPU时间) 这两个文件的值

1.2.设置CPU资源占用比

(设置多个容器时才有效)

Docker 通过 --cpu-shares 指定 CPU 份额,默认值为1024,值为1024的倍数。

#创建两个容器为 c1 和 c2,若只有这两个容器,设置容器的权重,使得c1和c2的CPU资源占比为

1/3和2/

docker run --cpu-shares=容器进程最大占用的CPU份额(值为1024的倍数)

1.3.设置容器绑定指定的CPU

docker run --cpuset-cpus CPUID[,CPUID2,....]

2.内存限制

-m(--memory=) 选项用于限制容器可以使用的最大内存

设置容器能够使用的内存和swap的上限

正常情况下,--memory-swap 的值包含容器可用内存和可用 swap。

所以 -m 300m --memory-swap=1g 的含义为:容器可以使用 300M 的物理内存,并且可以使用 700M(1G - 300)的 swap。

如果 --memory-swap 设置为 0 或者 不设置,则容器可以使用的 swap 大小为 -m 值的两倍。

如果 --memory-swap 的值和 -m 值相同,则容器不能使用 swap。

如果 --memory-swap 值为 -1,它表示容器程序使用的内存受限,而可以使用的 swap 空间使用不受限制(宿主机有多少 swap 容器就可以使用多少)。

3.磁盘IO限制

docker run --device-read-bps 磁盘设备文件路径:速率 #限制容器在磁盘上每秒读的数据量

--device-write-bps 磁盘设备文件路径:速率 #限制容器在磁盘上每秒写的数据量

--device-read-iops 磁盘设备文件路径:次数 #限制容器在磁盘上每秒读的次数

--device-write-iops 磁盘设备文件路径:次数 #限制容器在磁盘上每秒写的次数

docker system prune -a#可以用于清理磁盘,删除关闭的容器、无用的数据卷和网络



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。