linux系统创建私有容器仓库和docker容器的资源限制

私有仓库创建和资源限制

• 创建私有仓库
• docker资源限制
• • 系统压力测试工具stress
  • cpu资源限制
  • • 限制CPU Share
    • 限制CPU核数
    • CPU绑定
  • mem资源限制
  • 限制IO

创建私有仓库

上传harbor压缩包
解压
下载docker-compose
进入解压后的目录
修改配置文件
mv harbor.yml.tmpl  harbor.yml
vim harbor.yml
修改文件中主机名，端口，将https的模块注释

运行install.sh 
浏览器访问ip+端口
默认用户名admin
默认密码Harbor12345

上传镜像，下拉镜像到私有仓库配置访问白名单
vim /etc/docker/daemon.json
"insecure-registries": ["http://10.12.153.250:8888"]

docker资源限制

在使用 docker 运行容器时，如果不对容器使用的资源进行限制，那么容器之间会互相影响，小的来说会导致容器资源使用不公平；大的来说，可能会导致主机和集群资源耗尽，服务完全不可用。

CPU 和内存的资源限制已经是比较成熟和易用，能够满足大部分用户的需求。磁盘限制也是不错的，虽然现在无法动态地限制容量，但是限制磁盘读写速度也能应对很多场景。

至于网络，docker 现在并没有给出网络限制的方案，也不会在可见的未来做这件事情，因为目前网络是通过插件来实现的，和容器本身的功能相对独立，不是很容易实现，扩展性也很差。

资源限制一方面可以让我们为容器（应用）设置合理的 CPU、内存等资源，方便管理；另外一方面也能有效地预防恶意的攻击和异常，对容器来说是非常重要的功能。

系统压力测试工具stress

cpu资源限制

限制CPU Share

docker 允许用户为每个容器设置一个数字，代表容器的 CPU share，默认情况下每个容器的 share 是 1024。这个 share 是相对的，本身并不能代表任何确定的意义。当主机上有多个容器运行时，每个容器占用的 CPU 时间比例为它的 share 在总额中的比例。docker 会根据主机上运行的容器和进程动态调整每个容器使用 CPU 的时间比例。

docker run --rm -it progrium/stress --cpu 4   //限制4个进程

docker run --rm -it progrium/stress --cpu 4
docker run --rm -it -c 512 progrium/stress --cpu 4

这两个容器的 CPU 使用率应该大致为 2：1

限制CPU核数

限制容器能使用的 CPU 核数

-c --cpu-shares 参数只能限制容器使用 CPU 的比例，或者说优先级，无法确定地限制容器使用 CPU 的具体核数；从 1.13 版本之后，docker 提供了 --cpus 参数可以限定容器能使用的 CPU 核数。这个功能可以让我们更精确地设置容器 CPU 使用量，是一种更容易理解也因此更常用的手段.

--cpus 后面跟着一个浮点数，代表容器最多使用的核数，可以精确到小数点二位，也就是说容器最小可以使用 0.01 核 CPU。

docker run --rm -it --cpus 1.5 progrium/stress --cpu 3   //限制容器只能使用 1.5 核数 CPU

CPU绑定

docker run --rm -it --cpuset-cpus=0,1 progrium/stress --cpu 2   //只使用cpu1,2来运行这两个线程

mem资源限制

docker 默认没有对容器内存进行限制，容器可以使用主机提供的所有内存。

不限制内存带来的问题：

这是非常危险的事情，如果某个容器运行了恶意的内存消耗软件，或者代码有内存泄露，很可能会导致主机内存耗尽，因此导致服务不可用。可以为每个容器设置内存使用的上限，一旦超过这个上限，容器会被杀死，而不是耗尽主机的内存。 

限制内存带来的问题：

限制内存上限虽然能保护主机，但是也可能会伤害到容器里的服务。如果为服务设置的内存上限太小，会导致服务还在正常工作的时候就被 OOM 杀死；如果设置的过大，会因为调度器算法浪费内存。out of memory

合理做法：

1. 为应用做内存压力测试，理解正常业务需求下使用的内存情况，然后才能进入生产环境使用
2. 一定要限制容器的内存使用上限，尽量保证主机的资源充足，一旦通过监控发现资源不足，就进行扩容或者对容器进行迁移如果可以（内存资源充足的情况）
3. 尽量不要使用 swap，swap 的使用会导致内存计算复杂，对调度器非常不友好

docker 限制容器内存使用量:

docker 启动参数中，和内存限制有关的包括（参数的值一般是内存大小，也就是一个正数，后面跟着内存单位 b、k、m、g，分别对应 bytes、KB、MB、和 GB):

-m --memory：容器能使用的最大内存大小，最小值为 4m

如果限制容器的内存使用为 64M，在申请 64M 资源的情况下，容器运行正常（如果主机上内存非常紧张，并不一定能保证这一点）：

docker run --rm -it -m 64m progrium/stress --vm 1 --vm-bytes 64M --vm-hang 0

容器可以正常运行。
-m 64m：限制你这个容器只能使用64M
--vm-bytes 64M：将内存撑到64兆是不会报错，因为我有64兆内存可用。
hang:就是卡在这里。
--vm：生成几个占用内存的进程

而如果申请 150M 内存，会发现容器里的进程被 kill 掉了（worker 6 got signal 9，signal 9 就是 kill 信号）

docker run --rm -it -m 64m progrium/stress --vm 1 --vm-bytes 150M --vm-hang 0

限制IO

限制bps和iops
bps是 byte per second ，每秒读写的数量

iops是 io per second ，每秒IO的次数

注:目前Block I0限额只对direct IO (不使用文件缓存)有效。