资源限制至关重要，因为它们有助于避免一个容器消耗过多资源，导致其他应用程序资源匮乏并拖慢整个主机的速度。特别是在生产环境中，多个容器可能在一台机器上运行，配置限制可确保每个服务都能获得公平的资源份额，而不会占用其他服务。

在 Docker 中，设置容器的资源限制对于维护稳定、响应迅速的环境至关重要。Docker 容器虽然高效，但如果不加以控制，可能会占用大量资源，可能会独占 CPU、内存或 I/O 带宽，从而导致主机出现性能问题。

本指南深入探讨了控制这些限制的实用策略，解释了如何以满足单个容器的需求和系统整体稳定性的方式限制内存、CPU、I/O 甚至网络资源。

您会发现，适当的限制不仅可以保护其他应用程序，而且还可以更轻松地预测和管理您的资源使用情况。

当您需要管理共享环境或防止未经测试或突发的应用程序过度使用系统资源时，资源限制至关重要。例如，内存限制 ( --memory) 有助于防止内存不足 (OOM) 错误，而 CPU 份额 ( --cpu-shares) 可确保高优先级容器保持响应能力。

选择正确的容器限制需要平衡资源以实现高可用性和性能效率。配置错误的限制可能会导致利用率不足（容器受到不必要的限制）或过度使用，从而造成瓶颈。找到适合您特定工作负载的正确配置需要进行测试和调整，尤其是在容器需求发生变化时。

在本指南中，我将介绍基础知识并深入介绍内存、CPU、I/O 和网络限制配置，同时提供实际示例。您将掌握一些策略，可以自信地设置适合您基础设施需求的资源限制，并帮助您在 Docker 环境中保持稳定性、效率和控制力。

Docker 资源限制允许开发人员定义和控制容器可以使用多少 CPU、内存和其他系统资源。配置这些限制的主要组件如下：

1. 内存限制
–memory (-m)：设置内存的硬限制。此值可防止容器超出指定的内存量（例如-m 512m512 MB）。

–memory-reservation：设置软限制作为基准。当主机有足够的可用内存时，容器可能会超过此限制，但在主机负载过大时会受到限制。

–memory-swap：控制容器的交换内存，通常设置为大于的值–memory以防止交换耗尽。将其设置为与禁用交换相同的值–memory。

2. CPU 限制
–cpus：将容器限制为特定分数或整数的 CPU。例如，–cpus=1.5将容器限制为 1.5 个 CPU。此标志非常适合在不定义严格配额的情况下限制 CPU 突发。

–cpu-shares：定义在存在 CPU 争用时优先考虑容器的相对 CPU 权重。默认值为1024，但增加该值可使某个容器相对于其他容器获得更多的 CPU 时间（例如–cpu-shares=2048）。

–cpu-quota和–cpu-period：通过设置基于时间的配额来强制执行精确的 CPU 限制。例如，每 100 毫秒–cpu-period=100000将–cpu-quota=50000容器限制为 CPU 的 50%。

3. I/O 限制
–device-read-bps和–device-write-bps：限制特定设备的读写速度（以每秒字节数为单位）。用法示例：–device-read-bps=/dev/sda:10mb。

–device-read-iops和–device-write-iops：设置读写操作的每秒 I/O 操作数 (IOPS) 限制，控制磁盘带宽使用情况并提高存储吞吐量有限的环境中的性能。

4. 网络带宽限制（实验性）
–network-control-plane：允许对容器网络进行流量整形。并非在所有 Docker 环境中都完全可用，但对于限制高流量应用程序中的带宽很有用。

接下来让我们深入研究每一个，并确切了解它是什么以及我们如何利用它来发挥我们的优势。

Docker 中的内存管理对于确保容器效率和防止主机资源耗尽至关重要。Docker 提供三个主要选项来配置内存限制：–memory、–memory-reservation和–memory-swap。每个选项都提供了对内存使用的不同控制层，允许开发人员根据可用资源和应用程序要求定制容器行为。

–memory：设置硬内存限制
该–memory选项对容器可以使用的 RAM 量施加了严格的上限。如果容器试图超出此限制，Docker 将触发内存不足 (OOM) 事件，并终止容器以保护主机系统。这对于资源使用可预测性至关重要的服务尤其有用。例如：

在这种情况下，容器的内存限制为 512 MB。当容器达到此上限时，它会停止，以防止对主机造成进一步的资源压力。

–memory-reservation：设置软内存限制
该–memory-reservation选项定义了 Docker 在高内存负载条件下强制执行的软限制。虽然它允许容器暂时超过限制，但当主机系统遇到内存压力时，容器将被限制。此选项通常用于设置内存使用量的基线，设置–memory提供上限。例如：

在此命令中，容器的软内存限制为 512 MB，但如果资源允许，最多可使用 1 GB。此设置提供了灵活性，使容器能够在高需求操作期间访问更多内存，同时仍遵守主机的总体限制。

–memory-swap：管理交换使用情况
该–memory-swap标志允许 Docker 容器除了使用物理 RAM 之外，还可以使用基于磁盘的交换空间。它表示容器可以使用的内存总量（RAM + 交换空间）。交换内存通常比 RAM 慢，过度使用会降低应用程序性能，因此它通常配置为处理偶尔的峰值而不是持续的溢出。要启用交换使用，请设置–memory-swap高于–memory：

此命令允许容器使用最多 1 GB 的 RAM 和额外的 1 GB 交换空间，总计 2 GB。如果–memory和–memory-swap设置为相同的值，则交换空间实际上被禁用，从而将容器限制在其 RAM 分配范围内。

内存限制的最佳实践
设置内存限制时，请考虑应用程序的内存要求和主机系统的容量。使用docker stats或集成 Prometheus 等工具监控资源使用情况，以进行实时跟踪。设置合理的–memory限制以防止容器过度使用，然后应用于–memory-reservation处理临时内存需求，而不会危及系统稳定性。避免过度依赖交换（–memory-swap），因为频繁的基于磁盘的内存访问会降低容器速度并对整体性能产生负面影响。对于关键容器，通过将–memory和设置–memory-swap为相同值来禁用交换，以强制执行严格的内存处理。

Docker 提供了多种限制 CPU 资源的方法，允许控制容器的 CPU 使用率。这些选项包括设置绝对 CPU 限制、配置相对优先级以及选择特定的 CPU 核心进行执行。每种方法都有其独特的用途，具体取决于应用程序的要求和所需的资源分配方法。

–cpus：绝对 CPU 限制
该–cpus标志指定容器可以使用的最大 CPU 数量。这对于需要限制在定义的 CPU 利用率水平的应用程序特别有用。该值可以是小数，允许小数 CPU 分配。例如：

在此设置中，容器最多可使用 1.5 个 CPU，因此非常适合具有可预测 CPU 需求的工作负载。此方法简化了 CPU 限制，可自动调整到主机的可用资源，而无需配置其他参数。

–cpu-shares：相对 CPU 优先级
CPU 份额在 CPU 分配方面为容器设置优先级。默认情况下，Docker1024为每个容器分配份额，这意味着所有容器在争用时都会获得相等的 CPU 份额。调整–cpu-shares可以让一个容器在高利用率期间获得更高或更低的 CPU 份额。当您希望一个容器相对于其他容器获得更多的 CPU 时间时，此设置很有效，而不是作为严格的 CPU 限制。

在此示例中，与具有默认设置 (1024) 的容器相比，该容器的 CPU 分配量增加了一倍，从而在出现 CPU 争用时提升了性能。这种方法对于某些容器比其他容器更重要的工作负载非常有用。

–cpu-period和–cpu-quota：限制 CPU 使用率
–cpu-period和标志–cpu-quota通过设置基于时间的 CPU 限制提供细粒度控制。–cpu-period定义以微秒为单位的时间间隔，通常设置为100000(100 毫秒)。–cpu-quota设置容器在此时间段内可以使用的 CPU 时间。它们一起可以精确控制 CPU 使用率。例如，将容器的 CPU 利用率限制为 50%：

在这种情况下，容器可以使用 50% 的 CPU。当设置这两个值时，Docker 会确保容器的 CPU 使用率与这些限制保持一致，使其成为需要绝对 CPU 上限的任务的理想选择。

–cpuset-cpus：分配特定 CPU 核心
该–cpuset-cpus标志允许将容器绑定到特定的 CPU 核心，从而优化对特定核心资源分配敏感的工作负载的性能。此标志在多核环境中特别有用，在这种环境中，进程受益于固定到某些核心。例如：

此命令限制容器仅使用 CPU 核心 0 和 1，从而提高缓存效率并减少对延迟敏感的应用程序的 CPU 切换开销。

CPU 限制的最佳实践
根据工作负载要求设置切合实际的 CPU 限制，以避免资源过度使用。用于–cpus简单的上限需求、–cpu-shares优先分配 CPU 以及–cpu-quota需要–cpu-period精确的 CPU 限制的情况。始终使用来监控 CPU 使用率，以docker stats根据需要调整限制并确保容器不会缺乏资源。处理 NUMA 或多核系统时，使用–cpuset-cpus将容器绑定到特定核心，从而提高缓存局部性和性能。

Docker 提供了多种在容器级别管理 I/O 性能的选项，使用户能够对特定设备的读写操作设置限制。这些限制在多个容器共享存储资源的环境中特别有用，因为它们有助于确保对 I/O 资源的平衡访问，并防止单个容器独占磁盘带宽。

–device-read-bps和–device-write-bps：限制读写带宽
–device-read-bps和标志–device-write-bps设置指定设备上的最大读取和写入速度（以字节/秒 (Bps) 为单位）。这些选项对于 I/O 密集型应用程序（例如数据处理任务）很有帮助，因为限制读取/写入速度可以防止干扰其他容器进程。

例如，将容器的写入速度限制为 30 MB/s /dev/sda：

此示例将设备上的数据传输速率限制为 30 MB/s，以保护同一磁盘上的其他应用程序免受带宽争用。

–device-read-iops和–device-write-iops：限制每秒 I/O 操作数
–device-read-iops和选项–device-write-iops控制每秒允许的读取或写入操作数 (IOPS)。这些选项在处理 SSD 或磁盘事务率较高的环境时特别有效，因为限制 IOPS 有助于管理对存储的访问，而不会限制数据吞吐量。

例如，将指定设备上的写入操作限制为 100 IOPS：

该容器配置将限制写入操作，限制为每秒 100 次，这有助于管理多个活动容器的存储效率。

blkio-weight和–blkio-weight-device：调整磁盘 I/O 优先级
该blkio-weight标志修改容器相对于同一主机上其他容器的 I/O 带宽优先级，值介于 10 到 1000 之间。使用–blkio-weight-device，您可以专门为某些设备设置优先级，从而实现进一步的精细控制。这些标志不会施加严格的限制，而是在高需求时优先访问，使其成为需要 I/O 优先级灵活性而没有固定上限的工作负载的理想选择。

要将 的 I/O 权重设置为 600 /dev/sdb，请使用：

这种方法赋予容器相对较高的优先级/dev/sdb，在特定设备处理关键数据的环境中非常有用。

I/O 限制的最佳实践
设置 I/O 限制时，了解工作负载的特征至关重要。使用–device-read-bps和–device-write-bps控制数据密集型任务的带宽，使用–device-read-iops和–device-write-iops有效限制高交易率。为了实现更灵活的优先级而不是严格的限制，请应用于blkio-weight在争用期间管理资源访问。

在 Docker 中，带宽级别的网络控制更具实验性，主要用于 Docker Swarm 环境中。Docker 不提供内置 CLI 标志，专门用于设置每个容器的严格带宽限制，就像对 CPU 和内存的限制一样。但是，某些高级设置可以控制网络流量行为和分段，特别是当与 Swarm 集群内的覆盖网络和 Docker 的控制平面结合使用时。

Swarm 中的 Docker 网络控制平面
Docker 的网络控制平面是 Docker Swarm 的核心功能，在管理和扩展网络配置方面发挥着重要作用。它利用 gossip 协议，可高效同步整个集群的网络拓扑和路由信息，使其具有高度可扩展性和弹性。此网络控制按网络进行范围划分，以减少资源开销，确保每个节点的带宽使用量最小。在 Swarm 模式下，此控制平面还支持使用加密进行安全消息传播，使其能够抵御外部威胁。

Docker 中的网络管理用例和最佳实践

对于大多数设置，Docker 的本机网络驱动程序（例如网桥、主机和覆盖）足以分段流量并提供 IP 级隔离。但是，如果需要流量整形和精确的网络控制，Docker Swarm 的覆盖网络可通过 VXLAN 封装实现多主机通信，从而使分布式服务即使跨主机边界也能保持连接。在部署具有高网络需求的容器时，请考虑将关键服务放在隔离网络上，以最大限度地减少交叉流量并使用 Swarm 的加密覆盖网络控制访问。

在 Docker 中管理资源限制不仅仅是一件好事；它对于控制容器并确保它们不会占用主机的所有资源至关重要。我们都遇到过这样的问题：一个容器耗尽了内存或 CPU，然后机器上的其他所有东西突然变得非常慢。本指南介绍了如何使用 Docker 的选项来控制这种行为，这些选项用于设置内存、CPU、I/O 甚至网络使用上限（尽管目前这个选项还处于试验阶段）。这些工具可让您精细地调整每个容器的资源消耗，以便您的系统即使在繁重的工作负载下也能保持稳定和平衡。

最大的收获是什么？明确何时以及如何应用每个限制。例如，设置硬内存限制（–memory）非常适合严格限制，而使用则–memory-reservation通过允许临时爆发提供灵活性。或者，如果您正在处理 CPU 密集型应用程序，–cpu-shares则可以在高负载期间优先考虑某些容器。同时，Docker Swarm 的覆盖网络和控制平面为流量密集型设置添加了另一层控制。每个应用程序都有独特的需求，因此平衡这些设置是一门艺术。如果您有自己的管理资源限制的技巧，请在评论中提出它们——我很想听听哪种方法最适合您。