Docker资源限制:给容器戴上精准"金箍"的工程指南
一、当容器变身"饕餮巨兽":真实事故现场
去年某天,一个服务容器在凌晨3点突然暴走:
# 事故现场监控日志
[03:12:45] CPU使用率:780% # 物理机总共才8核!
[03:13:02] 内存占用:32GB/32GB
[03:13:15] 磁盘IO延迟:15.7秒
[03:13:30] 网络丢包率:62%
最终导致整个集群雪崩。这就是没有资源限制的血泪教训!
二、底层原理深度拆解:Linux的"牢笼"技术
1. cgroups(控制组)——资源隔离监狱
实战验证CPU限制:
# 启动一个吃满2核的容器
docker run -d --name cpu_test --cpus=2 stress-ng --cpu 4# 查看cgroups配置
cat /sys/fs/cgroup/cpu/docker/<容器ID>/cpu.cfs_quota_us
# 输出:200000 → 表示每100ms(cpu.cfs_period_us)周期内可使用200ms CPU时间
# 计算公式:CPU核数 = cpu.cfs_quota_us / cpu.cfs_period_us
2. namespaces——空间隔离结界
# 查看进程视图隔离
docker run -it --rm alpine ps aux
# 输出:只能看到容器内的进程,如同在独立小宇宙# 对比宿主机进程
ps aux | grep nginx
# 输出:能看到所有进程,但容器进程被隔离在独立namespace
三、四大核心资源管控详解(含全量参数表)
1. CPU管制:从"核战争"到"计划经济"
参数大全:
| 参数 | 作用 | 类比解释 |
|---|---|---|
--cpus | 可用CPU核数 | 每月固定工资 |
--cpu-shares | CPU相对权重(默认1024) | 奖金分配比例 |
--cpuset-cpus | 绑定指定CPU核心 | 指定固定工位 |
--cpu-quota | 周期内最大使用时间(微秒) | 每日最多加班时长 |
全场景测试:
# 场景1:精确分配2.5核
docker run -d --cpus=2.5 stress-ng --cpu 8# 监控输出(预期CPU% ≈ 250%)
CONTAINER CPU % MEM USAGE
test_container 248.7% 1.21MiB / 2GiB# 场景2:CPU绑定与权重组合
docker run 
