资源限制

1 CPU 和内存

body = {
    "Memory": int(self.container["flavor"]["memoryInMB"]["limit"]) * 1024 * 1024,
    "MemorySwap": int(self.container["flavor"]["memoryInMB"]["limit"]) * 1024 * 1024,
    "CpuShares": int(self.container["flavor"]["cpuInCore"]["quota"]) * 1024,
    "CpuQuota": int(self.container["flavor"]["cpuInCore"]["limit"]) * 100000
}

docker update --help

Usage:  docker update [OPTIONS] CONTAINER [CONTAINER...]

Update configuration of one or more containers

Options:
      --blkio-weight uint16        Block IO (relative weight), between 10 and 1000, or 0 to disable (default 0)
      --cpu-period int             Limit CPU CFS (Completely Fair Scheduler) period
      --cpu-quota int              Limit CPU CFS (Completely Fair Scheduler) quota
      --cpu-rt-period int          Limit the CPU real-time period in microseconds
      --cpu-rt-runtime int         Limit the CPU real-time runtime in microseconds
  -c, --cpu-shares int             CPU shares (relative weight)
      --cpus decimal               Number of CPUs
      --cpuset-cpus string         CPUs in which to allow execution (0-3, 0,1)
      --cpuset-mems string         MEMs in which to allow execution (0-3, 0,1)
      --kernel-memory bytes        Kernel memory limit
  -m, --memory bytes               Memory limit
      --memory-reservation bytes   Memory soft limit
      --memory-swap bytes          Swap limit equal to memory plus swap: '-1' to enable unlimited swap
      --pids-limit int             Tune container pids limit (set -1 for unlimited)
      --restart string             Restart policy to apply when a container exits

1.1 CPU

--cpu-shares 用来设置 CPU 的权重，当 CPU 资源充足时，设置 CPU 的权重是没有意义的。只有在容器争用 CPU 资源的情况下， CPU 的权重才能让不同的容器分到不同的 CPU 用量。
--cpus=2 和 --cpu-period=100000 --cpu-quota=200000 是同等作用，其实就是限制了可用的 CPU 个数为 2(通过进程消耗的 CPU 时间片来统计出进程占用 CPU 的百分比)

线上的 4c 的容器 CPU 配置

docker update --cpu-shares 4096 --cpu-quota 400000 {container_name}

2 磁盘限速

bps 是 byte per second，每秒读写的数据量。
iops 是 io per second，每秒 IO 的次数。

--device-read-bps，限制读某个设备的 bps。
--device-write-bps，限制写某个设备的 bps。
--device-read-iops，限制读某个设备的 iops。
--device-write-iops，限制写某个设备的 iops。

2.1 Direct I/O 和 Buffered I/O

Linux 的两种文件 I/O 模式了：Direct I/O 和 Buffered I/O

Direct I/O 模式，用户进程如果要写磁盘文件，就会通过 Linux 内核的文件系统层(filesystem) -> 块设备层(block layer) -> 磁盘驱动 -> 磁盘硬件
Buffered I/O 模式，那么用户进程只是把文件数据写到内存中（Page Cache）就返回了，而 Linux 内核自己有线程会把内存中的数据再写入到磁盘中。

在 Linux 里，由于考虑到性能问题，绝大多数的应用都会使用 Buffered I/O 模式。

经过测试发现 Direct I/O 可以通过 blkio Cgroup 来限制磁盘 I/O，但是 Buffered I/O 不能被限制。

原因就是被 Cgroups v1 的架构限制了。

进程 pid，它可以分别属于 memory Cgroup 和 blkio Cgroup。

但是在 blkio Cgroup 对进程 pid 做磁盘 I/O 做限制的时候，blkio 子系统是不会去关心 pid 用了哪些内存，哪些内存是不是属于 Page Cache，而这些 Page Cache 的页面在刷入磁盘的时候，产生的 I/O 也不会被计算到进程 pid 上面。

就是这个原因，导致了 blkio 在 Cgroups v1 里不能限制 Buffered I/O。

这个 Buffered I/O 限速的问题，在 Cgroup V2 里得到了解决，其实这个问题也是促使 Linux 开发者重新设计 Cgroup V2 的原因之一。

2.2 Cgroup v1 Vs v2

2.2.1 /sys/fs/cgroup/

v1

$ tree -L 1 /sys/fs/cgroup/
/sys/fs/cgroup/
|-- blkio
|-- cpu -> cpu,cpuacct
|-- cpuacct -> cpu,cpuacct
|-- cpu,cpuacct
|-- cpuset
|-- devices
|-- freezer
|-- hugetlb
|-- memory
|-- net_cls -> net_cls,net_prio
|-- net_cls,net_prio
|-- net_prio -> net_cls,net_prio
|-- perf_event
|-- pids
|-- rdma
`-- systemd

16 directories, 0 files

v2

$ tree -L 1 /sys/fs/cgroup/
/sys/fs/cgroup/
|-- cgroup.controllers
|-- cgroup.max.depth
|-- cgroup.max.descendants
|-- cgroup.procs
|-- cgroup.stat
|-- cgroup.subtree_control
|-- cgroup.threads
|-- cpu.pressure
|-- cpuset.cpus.effective
|-- cpuset.mems.effective
|-- cpu.stat
|-- init.scope
|-- io.pressure
|-- io.stat
|-- memory.numa_stat
|-- memory.pressure
|-- memory.stat
|-- system.slice
`-- user.slice

3 directories, 16 files

v1 的 cgroup 为每个控制器都使用独立的树(目录), 每个目录就代表了一个 cgroup subsystem，各个 Subsystem 各自为政，看起来比混乱，难以管理

2.3 系统开启 Cgroup v2

/etc/default/grub 添加 systemd.unified_cgroup_hierarchy=1 参数

GRUB_CMDLINE_LINUX="... systemd.unified_cgroup_hierarchy=1"

更新 grub 并重启

$ grub2-mkconfig -o /boot/grub2/grub.cfg
$ reboot

检查

$ stat -fc %T /sys/fs/cgroup/
如果输出是 cgroup2fs，则表示使用的是cgroup v2。
如果输出是 tmpfs，则表示使用的是cgroup v1。

2.4 Docker 配置

$ docker info | grep Cgroup
 Cgroup Driver: systemd
 Cgroup Version: 2

未开启 Cgroup V2 时，docker info 输出以下信息

Cgroup Driver: cgroupfs Cgroup Version: 1

Cgroup Driver:

cgroupfs：Docker 默认的驱动，直接操作文件系统中的 cgroup 目录（如 /sys/fs/cgroup/）。
systemd：利用 systemd 作为 cgroup 管理器，将容器进程纳入 systemd 的单元（unit）层级中，实现更精细的资源控制和日志管理。

如果要修改容器的容器默认的 cgroup 父路径(默认是 "/system.slice")，可以添加如下配置:

/etc/docker/daemon.json
{
  "cgroup-parent": "/docker.slice"
}

2.5 测试

2.5.1 创建容器

docker run -d -v /mnt/container/docker_bind/ceshi:/home --device-write-bps /dev/vdb:1M --name test  registry.baidubce.com/scs_test_cce/mysql:v1.0

2.5.2 dd 测试

进入到容器中 /home 目录

# Direct I/O
dd if=/dev/zero of=test.out bs=1M count=1024 oflag=direct
# Buffered I/O
dd if=/dev/zero of=test.out bs=1M count=1024

2.5.3 查看磁盘 io

iostat -kx 1

2.5.4 磁盘 io 限制

$ cat /sys/fs/cgroup/system.slice/docker-a576b0762a93d006841a4a7e20eb7ef7886c1810b2fdd2352a5ba1da96450a65.scope/io.max
253:16 rbps=max wbps=1048576 riops=max wiops=max

返回结果中的 253:16 是磁盘编号, 可以通过 lsblk 获取

$ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 20G 0 disk `-vda1 253:1 0 20G 0 part / vdb 253:16 0 100G 0 disk /mnt

cgroup v1 在通过如下方式获取

blkio.throttle.read_bps_device
blkio.throttle.read_iops_device
blkio.throttle.write_bps_device
blkio.throttle.write_iops_device

$ cat /sys/fs/cgroup/blkio/docker/{container_id}/blkio.throttle.write_bps_device

253:16 4000

2.6 Docker API 限制磁盘 IO

Cgroup v1 无法限制 Page Cache 刷盘速度

Cgroup v2 通过 Buffered I/O 写入文件时，会秒级完成写入，但是从 Page Cache 往磁盘写入时会限速

创建容器时的 API 参数

BlkioDeviceReadBps
BlkioDeviceWriteBps

BlkioDeviceReadIOps
BlkioDeviceWriteIOps

在 Docker API 中，BlkioDeviceReadBps 是 HostConfig 的一个字段，格式为：

{
  "BlkioDeviceReadBps": [
    {
      "Path": "/dev/sda",
      "Rate": 1048576  # 1MB = 1024*1024=1048576 字节/秒
    }
  ]
}

示例

curl -X POST \
  -H "Content-Type: application/json" \
  --unix-socket /var/run/docker.sock \
  "http://v1.41/containers/create?name=my_container" \
  -d '{
    "Image": "nginx",
    "HostConfig": {
      "BlkioDeviceReadBps": [
        {
          "Path": "/dev/sda",
          "Rate": 1048576
        }
      ]
    }
  }'

获取磁盘设备

 [[ -d "/mnt/container" ]] && df -h "/mnt/container" | grep dev | awk '{print $1}'
/dev/vdb

2.7 示例

综合限制磁盘 IOPS 和 IO BPS

docker run -it \
  --device-read-iops /dev/sda:100 \
  --device-write-iops /dev/sda:50 \
  --device-read-bps /dev/sda:1MB \
  --device-write-bps /dev/sda:512KB \
  centos /bin/bash

读 IOPS ≤ 100 次/秒，读带宽 ≤ 1MB/s。
写 IOPS ≤ 50 次/秒，写带宽 ≤ 512KB/s。

2.8 对运行中的容器进行限制磁盘 IO

https://github.com/moby/moby/blob/master/daemon/container/container_unix.go#L248 (截止2025年9月15日)

Docker 原生不支持运行时修改块设备I/O限制，需要通过 cgroup 来进行修改

$ cat /sys/fs/cgroup/system.slice/docker-5ab92156cb2cccf2a71dccfe6e6306e5e086b5d5432f3a524f8d732d08de3eff.scope/io.max
253:16 rbps=2857142857 wbps=2857142857 riops=28571428 wiops=28571428

即需要修改 /sys/fs/cgroup/system.slice/docker-{container-id}.scope

2.9 获取磁盘编号

$ lsblk --noheadings /dev/vdb
vdb  253:16   0  300G  0 disk /mnt

$ lsblk -o MAJ:MIN --noheadings /dev/vdb
253:16

Previous外部执行容器中的脚本 Next五访问仓库

Last updated 5 months ago

hashtag1 CPU 和 内存

hashtag1.1 CPU

hashtag2 磁盘限速

hashtag2.1 Direct I/O 和 Buffered I/O

hashtag2.2 Cgroup v1 Vs v2

hashtag2.2.1 /sys/fs/cgroup/

hashtag2.3 系统开启 Cgroup v2

hashtag2.4 Docker 配置

hashtag2.5 测试

hashtag2.5.1 创建容器

hashtag2.5.2 dd 测试

hashtag2.5.3 查看磁盘 io

hashtag2.5.4 磁盘 io 限制

hashtag2.6 Docker API 限制磁盘 IO

hashtag2.7 示例

hashtag2.8 对运行中的容器进行限制磁盘 IO

hashtag2.9 获取磁盘编号