一、
我们在容器中部署一个MySQL,如果不做限制,该MySQL就会认为这台服务器上的所有资源都是给它使用的,从而可能会消耗大量的资源。我们可以使用cgroup来限制容器资源的使用。
cgroups 的全称是 Linux Control Groups,主要作用是限制、记录和隔离进程组(process groups)使用的物理资源(cpu、memory、IO 等)。cgroup提供了两个接口:cgroupfs、systemd,cgroupfs是可以挂载的,默认情况 下挂载在/sys/fs/cgroup目录。通过systemd-cgls命令我们可以看到systemd工作的进程PID是1。
限制资源后,如果使用的超出限制大小的资源,就会出现OOM killed报错。
对容器的内存进行限制:
例如:nerdctl run -it --name=c1 --rm -m 500m hub.c.163.com/library/centos:latest 此容器里最多只能消耗500M的内存,不能消耗更多。--rm表示容器退出时自动清理容器内部的文件系统,-m表示内存使用上限。
对容器CPU限制:
首先可在宿主机下执行lscpu来查看系统有多少cpu。
当不指定容器的cpu时会发现,容器中的进程被随机分配到系统的cpu中运行。
指定容器里的进程在特定的CPU上运行:
nerdctl run -it --name=c1 --cpuset-cpus=0 --rm hub.c.163.com/library/centos:latest 此容器里所有的进程都在cpu0上运行。
如果要分布到不同的cpu上的话 --cpuset-cpus=0-3,7 。在0,1,2,3,7这4颗CPU上运行。
二、容器监控
虽然命令行可以使用docker status 的方式来对容器进行监控,但是效果并不友好。所以可以使用cadvisor来进行监控。该工具由谷歌进行开发,可监控宿主机和容器信息。
首先需要拉取镜像拉取镜像 docker pull hub.c.163.com/xbingo/cadvisor:latest
然后通过docker history来查看镜像信息,得知需开放8080端口
使用
docker run \
-v /var/run:/var/run \
-v /sys:/sys:ro \
-v /var/lib/docker:/var/lib/docker:ro \
-d -p 8080:8080 --name=mon \
hub.c.163.com/xbingo/cadvisor:latest
然后访问ip:8080即可看到web界面:
工具2 weave scope
Weave Scope可用于Docker和Kubernetes容器的监控、可视化和管理,它可以自动生成容器之间的关系图,能够直观地理解、监控和控制容器。
安装前需下载scope
curl -L git.io/scope -o /usr/local/bin/scope
然后进入目录scope,启动脚本scope launch,会提示先拉取镜像weaveworks/scope:1.13.1
docker pull weaveworks/scope:1.13.1
然后再次运行脚本,运行路径需要写全,不然可能提示未找到命令。
通过返回的地址即可访问scope的web端: