docker学习笔记3,从入门到精通

简介: docker学习笔记3,从入门到精通

docker容器互联

docker run创建Docker容器时,可以用--net选项指定容器的网络模式,Docker有以下4种网络模式:

bridge模式:使--net =bridge指定,默认设置;

host模式:使--net =host指定;

none模式:使--net =none指定;

container模式:使用--net =container:NAME orID指定。

docker 容器的网络基础

1、docker0:

安装docker的时候,会生成一个docker0的虚拟网桥

2、Linux虚拟网桥的特点:

可以设置ip地址

相当于拥有一个隐藏的虚拟网卡

docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:43:89:d8:00 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever

每运行一个docker容器都会生成一个veth设备对,这个veth一个接口在容器里,一个接口在物理机上。

3、安装网桥管理工具:

yum install bridge-utils -y

brctl show 可以查看到有一个docker0的网桥设备,下面有很多接口,每个接口都表示一个启动的docker容器,因为我在docker上启动了很多容器,所以interfaces较多,如下所示:

docker 容器的互联

下面用到的镜像的dockerfile文件如下:

cd dockerfile/inter-image

FROM centos
MAINTAINER xiaoqi
RUN sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*
RUN sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*
RUN yum install wget -y
RUN yum install nginx -y
RUN sed -i "7s/^/#/g" /etc/nginx/nginx.conf
EXPOSE 80
CMD /bin/bash

root@timer:~/inter-image# docker build -t="inter-image" .

允许所有容器间互联(也就是访问)

第一种方法:

例:

(1)基于上面的inter-image镜像启动第一个容器test1

docker run --name test1 -itd inter-image
进入到容器里面启动nginx:
/usr/sbin/ngnx

(2)基于上面的inter-image镜像启动第二个容器test2

docker run --name test2 -itd inter-image

(3)进入到test1容器和test2容器,可以看两个容器的ip,分别是

172.17.0.4和172.17.0.5

docker exec -it test2 /bin/bash

ping 172.17.0.4 可以看见能ping通test1容器的ip

test1 机器上

curl http://172.17.0.5 

可以访问到test1容器的内容

上述方法假如test1容器重启,那么在启动就会重新分配ip地址,所以为了使ip地址变了也可以访问可以采用下面的方法

docker link设置网络别名

第二种方法:

可以给容器起一个代号,这样可以直接以代号访问,避免了容器重启ip变化带来的问题

--link

docker run --link=[CONTAINER_NAME]:[ALIAS] [IMAGE][COMMAND]

例:

1.启动一个test3容器

docker run --name test3 -itd inter-image /bin/bash

2.启动一个test5容器,--link做链接,那么当我们重新启动test3容器时,就算ip变了,也没关系,我们可以在test5上ping别名webtest

docker run --name test5 -itd --link=test3:webtest inter-image /bin/bash

3.test3和test5的ip分别是172.17.0.6和172.17.0.7

4.重启test3容器

docker restart test3

发现ip变成了172.17.0.8

5.进入到test5容器

docker exec -it test5 /bin/bash

ping test3容器的ip别名webtest可以ping通,尽管test3容器的ip变了也可以通

docker容器的网络模式

docker run创建docker容器时,可以用--net选项指定容器的网络模式,Docker有以下4种网络模式:

bridge模式:使--net =bridge指定,默认设置;

host模式:使--net =host指定;

none模式:使--net =none指定;

container模式:使用--net =container:NAME orID指定。

1 none模式

Docker网络none模式是指创建的容器没有网络地址,只有lo网卡

root@timer:~# docker run -itd  --name none --net=none --privileged=true centos
41a520864ae7311da45bec03058ffd32d7291dd262f2c3def961bca2106abcbc
root@timer:~# docker exec -it none /bin/bash
[root@41a520864ae7 /]# 

ip addr

#只有本地lo地址

root@timer:~# docker exec -it none /bin/bash
[root@41a520864ae7 /]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
3: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0

2 container模式

Docker网络container模式是指,创建新容器的时候,通过--net container参数,指定其和已经存在的某个容器共享一个 Network Namespace。如下图所示,右方黄色新创建的container,其网卡共享左边容器。因此就不会拥有自己独立的 IP,而是共享左边容器的 IP 172.17.0.2,端口范围等网络资源,两个容器的进程通过 lo 网卡设备通信。

 

#和已经存在的none容器共享网络

root@timer:~# docker run --name container2 --net=container:none  -it --privileged=true centos
[root@41a520864ae7 /]# 
[root@41a520864ae7 /]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
3: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0

3 bridge模式

默认选择bridge的情况下,容器启动后会通过DHCP获取一个地址

#创建桥接网络

root@timer:~# docker run --name host -it --net=host --privileged=true centos  bash
root@timer:~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever7: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:43:89:d8:00 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:43ff:fe89:d800/64 scope link 
       valid_lft forever preferred_lft forever

4 host模式

Docker网络host模式是指共享宿主机的网络

#共享宿主机网络

root@timer:~# docker run --name host1 -it --net=host --privileged=true centos  bash
[root@timer /]# 

docker资源配额

 

docker容器控制cpu

Docker通过cgroup来控制容器使用的资源限制,可以对docker限制的资源包括CPU、内存、磁盘

1.1  指定docker容器可以使用的cpu份额

#查看配置份额的帮助命令:

root@timer:~# docker run --help | grep cpu-shares
  -c, --cpu-shares int                 CPU shares (relative weight)

CPU shares (relative weight) 在创建容器时指定容器所使用的CPU份额值。cpu-shares的值不能保证可以获得1个cpu或者多少GHz的CPU资源,仅仅只是一个弹性的加权值。

默认每个docker容器的cpu份额值都是1024。在同一个CPU核心上,同时运行多个容器时,容器的cpu加权的效果才能体现出来。

例: 两个容器A、B的cpu份额分别为1000和500,结果会怎么样?    

情况1:A和B正常运行,占用同一个CPU,在cpu进行时间片分配的时候,容器A比容器B多一倍的机会获得CPU的时间片。

情况2:分配的结果取决于当时其他容器的运行状态。比如容器A的进程一直是空闲的,那么容器B是可以获取比容器A更多的CPU时间片的; 比如主机上只运行了一个容器,即使它的cpu份额只有50,它也可以独占整个主机的cpu资源。

cgroups只在多个容器同时争抢同一个cpu资源时,cpu配额才会生效。因此,无法单纯根据某个容器的cpu份额来确定有多少cpu资源分配给它,资源分配结果取决于同时运行的其他容器的cpu分配和容器中进程运行情况。

例1:给容器实例分配512权重的cpu使用份额

参数:  --cpu-shares 512

root@timer:~# docker run -it --cpu-shares 512 centos  /bin/bash
[root@eff5c135ead0 /]# cat /sys/fs/cgroup/cpu/cpu.shares
512

注:稍后,我们启动多个容器,测试一下是不是只能使用512份额的cpu资源。单独一个容器,看不出来使用的cpu的比例。 因没有docker实例同此docker实例竞争。

总结:

通过-c设置的 cpu share 并不是 CPU 资源的绝对数量,而是一个相对的权重值。某个容器最终能分配到的 CPU 资源取决于它的 cpu share 占所有容器 cpu share 总和的比例。通过 cpu share 可以设置容器使用 CPU 的优先级。

比如在 host 中启动了两个容器:

docker run --name "container_A" -c 1024 ubuntu

docker run --name "container_B" -c 512 ubuntu

container_A 的 cpu share 1024,是 container_B 的两倍。当两个容器都需要 CPU 资源时,container_A 可以得到的 CPU 是 container_B 的两倍。

需要注意的是,这种按权重分配 CPU只会发生在 CPU资源紧张的情况下。如果 container_A 处于空闲状态,为了充分利用 CPU资源,container_B 也可以分配到全部可用的 CPU。

1.2  CPU core核心控制

参数:--cpuset可以绑定CPU

对多核CPU的服务器,docker还可以控制容器运行限定使用哪些cpu内核和内存节点,即使用--cpuset-cpus和--cpuset-mems参数。对具有NUMA拓扑(具有多CPU、多内存节点)的服务器尤其有用,可以对需要高性能计算的容器进行性能最优的配置。如果服务器只有一个内存节点,则--cpuset-mems的配置基本上不会有明显效果。

扩展:

服务器架构一般分: SMP、NUMA、MPP体系结构介绍

从系统架构来看,目前的商用服务器大体可以分为三类:

1. 即对称多处理器结构(SMP : Symmetric Multi-Processor) 例: x86 服务器,双路服务器。主板上有两个物理cpu

2. 非一致存储访问结构 (NUMA : Non-Uniform Memory Access) 例:  IBM 小型机 pSeries 690

3. 海量并行处理结构 (MPP : Massive ParallelProcessing) 。  例: 大型机  Z14

1.3  CPU配额控制参数的混合使用

在上面这些参数中,cpu-shares控制只发生在容器竞争同一个cpu的时间片时有效。

如果通过cpuset-cpus指定容器A使用cpu 0,容器B只是用cpu1,在主机上只有这两个容器使用对应内核的情况,它们各自占用全部的内核资源,cpu-shares没有明显效果。

如何才能有效果?

容器A和容器B配置上cpuset-cpus值并都绑定到同一个cpu上,然后同时抢占cpu资源,就可以看出效果了。

例1:测试cpu-shares和cpuset-cpus混合使用运行效果,就需要一个压缩力测试工具stress来让容器实例把cpu跑满。

如何把cpu跑满?

如何把4核心的cpu中第一和第三核心跑满?可以运行stress,然后使用taskset绑定一下cpu。

先扩展:stress命令

概述:linux系统压力测试软件Stress 。

root@timer:~# apt install stress

stress参数解释

-?        显示帮助信息

-v        显示版本号

-q       不显示运行信息

-n       显示已完成的指令情况

-t        --timeout  N  指定运行N秒后停止        

          --backoff   N   等待N微妙后开始运行

-c       产生n个进程 :每个进程都反复不停的计算随机数的平方根,测试cpu

-i        产生n个进程 :每个进程反复调用sync(),sync()用于将内存上的内容写到硬盘上,测试磁盘io

-m     --vm n 产生n个进程,每个进程不断调用内存分配malloc()和内存释放free()函数 ,测试内存

         --vm-bytes B  指定malloc时内存的字节数 (默认256MB)

        --vm-hang N   指定在free栈的秒数  

-d    --hadd n  产生n个执行write和unlink函数的进程

        -hadd-bytes B  指定写的字节数

        --hadd-noclean  不unlink        

注:时间单位可以为秒s,分m,小时h,天d,年y,文件大小单位可以为K,M,G

例1:产生2个cpu进程,2个io进程,20秒后停止运行

root@timer:~# stress -c 2 -i 2 --verbose --timeout 20s

#如果执行时间为分钟,改20s 为1m

查看:

top

例2:测试cpuset-cpus和cpu-shares混合使用运行效果,就需要一个压缩力测试工具stress来让容器实例把cpu跑满。 当跑满后,会不会去其他cpu上运行。 如果没有在其他cpu上运行,说明cgroup资源限制成功。

例3:创建两个容器实例:docker10 和docker20。 让docker10和docker20只运行在cpu0和cpu1上,最终测试一下docker10和docker20使用cpu的百分比。实验拓扑图如下:

运行两个容器实例

root@timer:~# docker run -itd --name docker10 --cpuset-cpus 0,1 --cpu-shares 512 centos  /bin/bash 
d0ebc2bd8473686ce9537467c6c2f92cf1f05b10f9ab734720563283778987a9
root@timer:~# 

#指定docker10只能在cpu0和cpu1上运行,而且docker10的使用cpu的份额512

#参数-itd就是又能打开一个伪终端,又可以在后台运行着docker实例

root@timer:~# docker run -itd --name docker20 --cpuset-cpus 0,1 --cpu-shares 1024 centos  /bin/bash
4a57011b63afb031fa4e03e0b80615c1cdc2240ddbc70324745beefa608a3079
root@timer:~# 

#指定docker20只能在cpu0和cpu1上运行,而且docker20的使用cpu的份额1024,比dcker10多一倍

测试1: 进入docker10,使用stress测试进程是不是只在cpu0,1上运行:

[root@timer ~]# docker exec -it  docker10  /bin/bash
[root@d0ebc2bd8473 /]# yum install -y epel-release #安装epel扩展源
[root@d0ebc2bd8473 /]# yum install stress -y   #安装stress命令
[root@d0ebc2bd8473 /]# stress -c 2 -v   -t  10m #运行2个进程,把两个cpu占满

在物理机另外一个虚拟终端上运行top命令,按1快捷键,查看每个cpu使用情况:

可看到正常。只在cpu0,1上运行

测试2: 然后进入docker20,使用stress测试进程是不是只在cpu0,1上运行,且docker20上运行的stress使用cpu百分比是docker10的2倍

[root@timer ~]# docker exec -it  docker20  /bin/bash
[root@4a57011b63af /]# yum install -y epel-release  #安装epel扩展源
[root@4a57011b63af /]# yum install stress -y
[root@4a57011b63af /]# stress  -c 2 -v -t 10m

在另外一个虚拟终端上运行top命令,按1快捷键,查看每个cpu使用情况:

注:两个容器只在cpu0,1上运行,说明cpu绑定限制成功。而docker20是docker10使用cpu的2倍。说明--cpu-shares限制资源成功。

2  docker容器控制内存

Docker提供参数-m, --memory=""限制容器的内存使用量。

例1:允许容器使用的内存上限为128M:

root@timer:~# docker run -it  -m 128m centos
[root@25449665cc0d /]#
查看:
[root@25449665cc0d /]# cat /sys/fs/cgroup/memory/memory.limit_in_bytes
134217728

注:也可以使用tress进行测试,到现在,我可以限制docker实例使用cpu的核心数和权重,可以限制内存大小。

例2:创建一个docker,只使用2个cpu核心,只能使用128M内存

root@timer:~# docker run -it --cpuset-cpus 0,1 -m 128m centos
[root@e022ac105168 /]#

3  docker容器控制IO

root@timer:~# docker run --help | grep write-b
      --device-write-bps list          Limit write rate (bytes per second) to a device (default [])

#限制此设备上的写速度(bytes per second),单位可以是kb、mb或者gb。

--device-read-bps value   #限制此设备上的读速度(bytes per second),单位可以是kb、mb或者gb。

情景:防止某个 Docker 容器吃光你的磁盘 I / O 资源例1:限制容器实例对硬盘的最高写入速度设定为 2MB/s。

--device参数:将主机设备添加到容器

root@timer:~# mkdir -p /var/www/html/
root@timer:~# docker run -it  -v /var/www/html/:/var/www/html --device /dev/sda:/dev/sda --device-write-bps /dev/sda:2mb centos  /bin/bash
 
[root@95b5f989ad2b /]# time dd if=/dev/sda of=/var/www/html/test.out bs=2M count=50 oflag=direct,nonblock

注:dd 参数:

direct:读写数据采用直接IO方式,不走缓存。直接从内存写硬盘上。

nonblock:读写数据采用非阻塞IO方式,优先写dd命令的数据50+0 records in

50+0 records out

104857600 bytes (105 MB, 100 MiB) copied, 0.163123 s, 643 MB/s

real    0m0.169s

user    0m0.000s

sys    0m0.042s

注: 发现1秒写2M。 限制成功。

docker容器运行结束自动释放资源

root@timer:~# docker run --help | grep rm

     --platform string                Set platform if server is multi-platform capable

     --rm                             Automatically remove the container when it exits

 -u, --user string                    Username or UID (format: [:])


作用:当容器命令运行结束后,自动删除容器,自动释放资源  

例:

root@timer:~# docker run -it --rm --name xiaoqi centos  sleep 6
#物理上查看:
root@timer:~# docker ps -a | grep xiaoqi
#等几秒再看,自动删除了
root@timer:~# docker ps |grep xiaoqi
root@timer:~# 


相关文章
|
1天前
|
Kubernetes 调度 Docker
Ubantu docker学习笔记(十一)k8s基本操作
Ubantu docker学习笔记(十一)k8s基本操作
|
1天前
|
Prometheus 监控 Cloud Native
Ubantu docker学习笔记(九)容器监控 自带的监控+sysdig+scope+cAdvisor+prometheus
Ubantu docker学习笔记(九)容器监控 自带的监控+sysdig+scope+cAdvisor+prometheus
|
1天前
|
存储 应用服务中间件 nginx
Ubantu docker学习笔记(八)私有仓库
Ubantu docker学习笔记(八)私有仓库
|
1天前
|
网络协议 Docker 容器
Ubantu docker学习笔记(七)容器网络
Ubantu docker学习笔记(七)容器网络
|
1天前
|
Docker 容器
Ubantu docker学习笔记(六)容器数据卷——补充实验
Ubantu docker学习笔记(六)容器数据卷——补充实验
|
1天前
|
安全 Linux Docker
Ubantu docker学习笔记(六)容器数据卷
Ubantu docker学习笔记(六)容器数据卷
Ubantu docker学习笔记(六)容器数据卷
|
1天前
|
存储 Linux 调度
Ubantu docker学习笔记(五)容器底层技术
Ubantu docker学习笔记(五)容器底层技术
|
1天前
|
应用服务中间件 Linux 网络安全
Ubantu docker学习笔记(四)docker容器操作
Ubantu docker学习笔记(四)docker容器操作
|
1天前
|
Linux 开发工具 Docker
Ubantu docker学习笔记(三)docker账号push及Dockerfile优化
Ubantu docker学习笔记(三)docker账号push及Dockerfile优化
|
1天前
|
缓存 Linux 开发工具
Ubantu docker学习笔记(二)拉取构建,属于你的镜像
Ubantu docker学习笔记(二)拉取构建,属于你的镜像