一、容器所用内存资源的限制

容器可使用的内存：物理内存和交换空间(Swap)。

1.1、用户内存限制

Docker默认没有设置内存限制。可以通过相关选项限制设置：

• -m(--memory)：设置容器可用的最大内存。该值最低为4MB。
• --memory-swap：允许容器置入磁盘交换空间中的内存大小。

Docker提供4种方式设置容器的用户内存使用:

• 对容器内存使用无限制（两个选项都不使用）。

• 设置内存限制并取消交换空间内存限制。

 #使用300内存和尽可能多的交换空间docker run -it -m 300M --memory-swap -1 ubuntu /bin/bash

• 只设置内存限制。

 # 300MB的内存和300MB的交换空间（默认情况下虚拟内存总量将设置为内存大小的两倍，因此容器能使用300M的交换空间docker run –it -m 300M ubuntu /bin/bash

• 同时设置内存和交换空间

 # 300MB的内存和700MB的交换空间docker run –it –m 300M --memory-swap 1G ubuntu/bin/bash

1.2、内核内存限制

内核内存不能交换到磁盘中，无法使用交换空间，消耗过多可能导致其阻塞系统服务。

 # 在500MB的内存中，可以使用最高50MB的内核内存docker run –it -m 500M --kemel-memory 50M ubuntu /bin/bash​# 只可以使用50MB的内核内存docker run –it --kernel-memory 50M ubuntu /bin/bash

1.3、设置内存预留实现软限制

使用--memory-reservation选项设置内存预留。它是一种内存软限制，允许更多的内存共享。设置后，Docker将检测内存争用或内存不足，并强制容器将其内存消耗限制为预留值。

内存预留值应当始终低于硬限制。作为一个软限制功能，内存预留并不能保证不会超过限制。

 # 限制内存为500MB，内存预留值(软限制)为200MB。# 当容器消耗内存大于200MB、小于500MB时，下一次系统内存回收将尝试将容器内存缩减到200MB以下。docker run –it –m 500M --memory-reservation 200M ubuntu /bin/bash​# 设置内存软限制为1GBdocker run –it —-memory-reservation 1G ubuntu /bin/bash

二、容器所用CPU资源的限制

默认情况为所有容器可以平等地使用主机CPU资源并且不受限制。

2.1、CPU份额限制

-c(--cpu-shares)选项将CPU份额权重设置为指定的值。默认值为1024，如果设置为0，系统将忽略该值并使用默认值1024。

2.2、CPU周期限制

--cpu-period选项(以μs为单位)设置CPU周期以限制容器CPU 资源的使用。默认的CFS(完全公平调度器)周期为100ms(100000μs)。通常将--cpu-period与--cpu-quota这两个选项配合使用：

 # 如果只有1个CPU，则容器可以每50ms(50000μs)获得50%(25000/50000)的CPU运行时间。docker run -it --cpu-period=50000 -~cpu-quota=25000 ubuntu /bin/bash

可用--cpus选项指定容器的可用 CPU 资源来达到同样的目的。--cpus 选项值是一个浮点数，默认值为 0.000，表示不受限制。

 # 上述可改为docker run -it --cpus=0.5 ubuntu /bin/bash

--cpu-period和--cpu-quota选项都是以1个CPU为基准。

2.3、CPU放置限制

--cpuset-cpus选项限制容器进程在指定的CPU上执行。

# 容器中的进程可以在cpu1和cpu3上执行docker run -it--cpuset-cpus="1, 3" ubuntu:14.04 /bin/bash​# 容器中的进程可以在cpu0、cpu1和cpu 2上执行docker run -it --cpuset-cpus="0-2" ubuntu:14.04 /bin/bash

2.4、CPU配额限制

--cpu-quota选项限制容器的CPU配额，默认值为0表示容器占用 100%的CPU资源个CPU)。

CFS用于处理进程执行的资源分配，是由内核使用的默认 Linux 调度程序。将此值设置50000意味着限制容器至多使用CPU资源的50%。对于多个CPU而言，调整--cpu-quota选项必要的。

三、容器所用块I/O带宽的限制

块I/O带宽(Block I/O Bandwidth，Blkio)是另一种可以限制容器使用的资源。块I/O指磁盘的写，Docker可通过设置权重、限制每秒字节数(B/s)和每秒I/O次数(IO/s)的方式控制容器读写盘的带宽。

3.1、设置块I/O权重

--blkio-weight选项更改比例（原默认为500），设置相对于所有其他正在运行的容器的块 I/O 带宽权重。

# 创建两个有不同块 I/O 带宽权重的容器。
docker run –it --name c1 --blkio-weight 300 ubuntu /bin/bash
docker run -it --name c2 --blkio-weight 600 ubuntu /bin/bash

3.2、限制设备读写速率

Docker 根据两类指标限制容器的设备读写速率：一类是每秒字节数，另一类是每秒I/O次数。

• 限制每秒字节数

--device-read-bps选项限制指定设备的读取速率，即每秒读取的字节数。

# 创建一个容器，并限制对/dev/sda设备的读取速率为每秒1MB
docker run -it --device-read-bps /dev/sda:1mb ubuntu

类似地，可使用--device-write-bps选项限制指定设备的写入速率。格式：

<设备>:<速率值>[单位]

• 限制每秒I/O次数

--device-read-iops和--device-write-iops选项制指定设备的读取和写入速率，用每秒I/O次数表示。

# 创建一个容器，限制它对1devsd3设备的读取速率为每秒1000次。
docker run -it --device-read-iops /dev/sda:1000 ubuntu

四、资源限制的实现机制

对容器使用的内存、CPU和块I/O带宽资源的限制具体是由控制组(Cgroup)的相应子系统来实现的。

• memory子系统设置控制组中的住务所使用的内存限制；

• cpu子系统通过调度程序提供对CPU的控制组任务的访问；

• blkio子系统为块设备(如磁盘、固态硬盘、USB等)设置输入和输出限制。

在docker run命令中使用--cpu-shares、--memory、--device-read-bps等选项实际上就是在配置控制组，相关的配置文件保存在/sys/fs/cgroup目录中。

五、示例

5.1、验证分析容器资源限制的实现机制

• 启动一个容器，设置内存限额为300MB，CPU权重为512。

[root@docker ~]# docker run --rm -d -p 8080:80 -m 300M --cpu-shares=512 httpd
b8a03a3887f1f...

• 查看/sys/fs/cgroup/cpu/docker目录，发现Linux为每个正在运行的容器创建一个Cgroup目录，以容器ID命名：

[root@docker ~]# ls -l /sys/fs/cgroup/cpu/docker/
total 0
drwxr-xr-x 2 root root 0 Apr 29 13:08 b8a03a3887f1f...
...

• 进一步查看容器子目录，会发现每个容器的子目录中都包含所有与CPU相关的Cgroup配置:

[root@docker ~]# ls -l /sys/fs/cgroup/cpu/docker/b8a03a3887f1f...
total 0
...
-rw-r--r-- 1 root root 0 Apr 29 13:12 cpu.rt_runtime_us
-rw-r--r-- 1 root root 0 Apr 29 13:08 cpu.shares
...

• 查看其中cpu.shares文件的内容，发现它保存的就是--cpu-shares选项的配置（512）：

[root@docker-2322030238 ~]# cat /sys/fs/cgroup/cpu/docker/b8a03a3887f1f.../cpu.shares 
512

• 类似，查看/sys/fs/cgroup/memory/docker目录中的内存Cgroup配置，发现memory.limit_in_bytes文件保存的就是-m选项的配置，本例设300MB，用字节表示为314572800:

[root@docker ~]# cat /sys/fs/cgroup/memory/docker/b8a03a3887f1f.../memory.limit_in_bytes 
314572800

5.2、动态更改容器的资源限制

docker update命令可以动态地更新容器配置，其语法：

docker update [选项] 容器 [容器...]

启动一个限制资源的容器后，再修改其资源限制：

[root@docker ~]# docker run --rm -d -p 8080:80 -m 300M --cpu-shares=512 httpd
29d3cb1392b8e...
[root@docker ~]# docker update -m 500M --cpu-shares=10245 29d3
29d3