在一台Docker宿主机上可以同时启动多个容器。在默认情况下，Docker的引擎对运行的容器没有限制硬件资源的使用。而在实际环境下，容器的负载过高会导致占用宿主机的大量资源。这里的资源主要是指宿主机的CPU、内存和I/O带宽这3个方面。

视频讲解如下：

一、 什么是Linux CGroup？

由于Docker是构建在Linux的基础之上，因此从Linux底层看，Docker是利用了Linux Control Group（简称Linux CGroup）实现了对资源使用的控制。因此，要掌握Docker容器的资源管理，有必要先了解一下什么是Linux CGroup。

Linux CGroup是Linux下的一些进程，通过这些进程可以限制应用程序对资源的使用。并且，通过Linux CGroup可以对系统资源做精细化控制。例如，可以实现对每个容器使用的CPU比率进行限制。Linux CGroup主要提供了以下的功能。

• Resource limitation：限制资源使用，例如，使用CPU及内存的上限。
  
• Prioritization：应用程序的优先级控制，例如，控制任务的调度。
  
• Accounting：应用程序的审计和统计，例如，实现应用程序的计费。
  
• Control：实现对应用程序的控制，例如，应用程序的挂起、恢复和执行等。
  

要是使用Linux CGroup功能，则需要先通过执行下面的步骤确定Linux的内核是否启用了Linux CGroup功能。

（1）确定操作系统的发行版号，如下图所示。

（2）根据操作系统的发行版号，可以确定是否启用了Linux CGroup功能。下图中的CGROUP参数的值是“y”，表示已经启动Linux CGroup对应的功能特性。

cat /boot/config-3.10.0-693.el7.x86_64 | grep CGROUP

了解了Linux CGroup功能特性后，下面将通过3个示例来演示如何使用Linux Group实现对系统资源使用的控制。

二、 通过Linux CGroup限制应用程序的CPU使用率

在本示例中，将利用C语言开发一段执行死循环的代码。由于是死循环，所以代码的CPU使用率将很高。然后通过使用Linux CGroup，将代码的CPU使用率限制在一定范围内，如20%。下面是具体的操作步骤。

（1）开发一段C程序代码产生一个死循环，并将代码保存为hello.c。

//hello.c
int main(void)
{
   int i = 0;
   for(;;) i++;
   return 0;
}

（2）将程序代码进行编译。

gcc -o hello hello.c

（3）执行程序代码，这时程序将产生死循环无法退出。

./hello

（4）在一个新的命令行窗口中，使用“top”命令监控应用程序hello的CPU使用率，可以看到已经达到了99.7%，如下图所示。

（5）进入“/sys/fs/cgroup/cpu/”目录下，创建一个新的子目录hello。该目录用于设置CPU使用率的阈值，如下图所示。

cd /sys/fs/cgroup/cpu/
mkdir hello
cd hello/
ls

（6）查看文件cpu.cfs_quota_us的内容为“-1”，表示没有对其CPU使用率进行限制。

（7）执行下面的语句将CPU使用率的阈值设置为20%。

echo 20000 > cpu.cfs_quota_us

（8）将应用程序hello的进程ID号写入tasks文件，如下图所示。

echo 21503 > tasks

（9）再次观察“top”命令的输出信息，发现应用程序hello的CPU使用率降到了20%，如下图所示。

（10）重新启动一个hello应用程序，并按照上面的步骤将进程ID号写入tasks文件。这时观察“top”命令的输出会发现，两个hello应用程序各自占用10%的CPU使用率，如下图所示。

二、 通过Linux CGroup限制应用程序使用系统内存

具体的操作步骤如下。

（1）进入“cd /sys/fs/cgroup/memory” 目录下，创建子目录hello。

cd /sys/fs/cgroup/memory
mkdir hello
cd hello

（2）查看文件memory.limit_in_bytes的内容。

more memory.limit_in_bytes
# 这里设定的值是9223372036854771712，表示没有对内存进行任何的限制。

（3）下面的语句会将内存的阈值设置为64KB。如果应用程序使用的内存超过了该值，则该应用程序会被操作系统自动“杀掉”。

echo 64k > memory.limit_in_bytes

（4）生效配置，将应用程序hello的进程ID号写入tasks文件。

echo 21503 > tasks

三、 通过Linux CGroup限制应用程序使用I/O带宽

为了更好地观察结果，首先安装iotop工具。

yum -y install iotop

# iotop是一个用来监视磁盘I/O使用状况的工具，包括pid、user、I/O、进程等相关信息。

下面的步骤演示了如何使用Linux CGroup限制应用程序使用I/O带宽。

（1）使用Linux的“dd”命令从磁盘持续读写数据。

dd if=/dev/sda of=/dev/null

（2）通过iotop工具查看I/O读取的速度为569.04 MB/s，如下图所示。

（3）查看设备“/dev/sda”的信息。从下图中可以看到，设备“/dev/sda”的设备号是“disk 8，0”。

ls -l /dev/sda

（4）使用Linux CGroup限制I/O对设备“/dev/sda”的读取速率。

mkdir /sys/fs/cgroup/blkio/io
cd /sys/fs/cgroup/blkio/io
echo '8:0 1048576'  > blkio.throttle.read_bps_device
# 通过这样，对该设备的读取速率被限制在了1MB/s之内了。

（5）将“dd”命令的进程ID号21681写入tasks文件。

echo 21681 > tasks

（6）再次观察iotop工具的监控输出信息，会发现这时“dd”命令对该设备的读取速率已经被设置了1.00 MB/s，如下图所示。

了解了Linux CGroup的功能后，再来讨论“Docker是如何对容器使用的资源进行设定”就变得非常简单了。Docker只是对Linux CGroup进行了封装，从而简化了调用操作的方式。