目录

一.Dockef网络

1.实现原理

2.网络模式

2.1.网络模式详解

二.资源控制

1.CPU资源控制

1.1.设置CPU使用率上限

1.2.设置CPU资源占用比

1.3.设置容器绑定指定的CPU

2.内存限制

3.磁盘IO限制

一.Dockef网络

1.实现原理

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根

据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默

认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的

Container-IP 直接通信

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也

意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可

以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来

启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器

<code>docker run -d --name a1 -P nginx:latest#随机映射端口（从32768开始）

docker run -d --name a2 -p 1314:80 nginx:latest#指定映射端口(将容器的80端口映射为宿主机的43000端口)

docker ps -a

查看容器的输出和日志信息

docker logs 容器的ID/名称

2.网络模式

Host：容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口Container：创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围None：该模式关闭了容器的网络功能Bridge：默认为该模式，此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat 表配置与宿主机通信自定义网络

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

查看网络列表

docker network ls    

docker network list      

2.1.网络模式详解

bridge

docker容器的默认网络模式。使用此模式的每个容器都有独立的网络命名空间(network

namespace)，每个容器都有独立的IP、端口范围、路由信息、iptables规则等网络资源

<code>docker run [--network=bridge] ....

host

使用此模式的容器与宿主机共享网络命名空间，即容器和宿主机使用同一个IP、端口范围(容器与

宿主机或其它使用host模式的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

<code>docker run --network=host ....

container

使用此模式的容器与指定的已存在的容器共享网络命名空间，即两个容器使用同一个IP、端口范围

(容器与指定的容器不能使用相同的端口)、路由信息、iptables规则等网络资源。

<code>docker run --network=host ....

none

每个容器都有独立的网络命名空间，但是容器没有自己的eth0网卡、IP、端口等，只有lo网卡。

docker run --network=none ....

自定义网络

可以用来自定义创建一个网段、网桥、网络模式，还可以实现使用自定义网络指定容器IP来创建容

器

docker network create --subnet=自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名" 自定义网络模式名 #创建自定义网络

docker run --network=自定义网络模式名 --ip=自定义容器IP .... #使用自定义网络指定容器IP来创建容器

二.资源控制

Docker 通过 Cgroup 来控制容器使用的资源配额，包括 CPU、内存、磁盘三大方面， 基本覆盖了

常见的资源配额和使用量控制

Cgroup 是 ControlGroups 的缩写，是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用

的物理资源(如 CPU、内存、磁盘 IO 等等) 的机制，被 LXC、docker 等很多项目用于实现进程资

源控制。Cgroup 本身是提供将进程进行分组化管理的功能和接口的基础结构，I/O 或内存的分配

控制等具体的资源管理是通过该功能来实现的

1.CPU资源控制

1.1.设置CPU使用率上限

（单个容器进程能够使用）

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。

CFS默认的调度周期是100ms

我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少 CPU 时间。

使用 --cpu-period 即可设置调度周期，使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU

时间。两者可以配合使用

CFS 周期的有效范围是 1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。

而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000

docker ps -a

cd /sys/fs/cgroup/cpu/docker/1f6af5b8adae9c6bfeb5a1dfe2a33a7e6347dfd4923092b9f3ad3882f015b7f2

---------------------------------------------------------------------------------------------------------

#cpu.cfs_period_us：cpu分配的周期(微秒，所以文件名中用 us 表示），默认为100000。

#cpu.cfs_quota_us：表示该cgroups限制占用的时间（微秒），默认为-1，表示不限制。 如果设为50000，表示占用50000/100000=50%的CPU。

---------------------------------------------------------------------------------------------------------

下载并使用压测工具

docker pull centos:7 下载测试所用镜像

docker run -id --name a1 centos:7 bash 创建运行容器

docker ps -a

docker cp CentOS-Base.repo a1:/etc/yum.repos.d/ #复制阿里云镜像到a1容器中

docker exec -it a1 sh #登录a1容器

cd /etc/yum.repos.d/

安装stress

yum install -y epel-release

yum install -y stress

针对新建的容器

docker run --cpu-period=单个CPU的调度周期时间(1000~1000000) --cpu-quota=容器进程能够使用的最大CPU时间(>=1000，<=调度周期时间)

针对已存在的容器：

修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU的调度周期时间) cpu.cfs_quota_us(容器进程能够使用的最大CPU时间) 这两个文件的值

1.2.设置CPU资源占用比

（设置多个容器时才有效）

Docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数。

#创建两个容器为 c1 和 c2，若只有这两个容器，设置容器的权重，使得c1和c2的CPU资源占比为

1/3和2/

docker run --cpu-shares=容器进程最大占用的CPU份额(值为1024的倍数)

1.3.设置容器绑定指定的CPU

docker run --cpuset-cpus CPUID[,CPUID2,....]

2.内存限制

-m(--memory=) 选项用于限制容器可以使用的最大内存

设置容器能够使用的内存和swap的上限

正常情况下，--memory-swap 的值包含容器可用内存和可用 swap。

所以 -m 300m --memory-swap=1g 的含义为：容器可以使用 300M 的物理内存，并且可以使用 700M（1G - 300）的 swap。

如果 --memory-swap 设置为 0 或者 不设置，则容器可以使用的 swap 大小为 -m 值的两倍。

如果 --memory-swap 的值和 -m 值相同，则容器不能使用 swap。

如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）。

3.磁盘IO限制

docker run --device-read-bps 磁盘设备文件路径:速率 #限制容器在磁盘上每秒读的数据量

--device-write-bps 磁盘设备文件路径:速率 #限制容器在磁盘上每秒写的数据量

--device-read-iops 磁盘设备文件路径:次数 #限制容器在磁盘上每秒读的次数

--device-write-iops 磁盘设备文件路径:次数 #限制容器在磁盘上每秒写的次数

docker system prune -a#可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络