Docker容器资源限制

Docker容器资源限制是控制容器对宿主机资源（CPU、内存、磁盘I/O等）占用的关键机制。通过合理配置资源限制，可以避免单个容器过度消耗资源而影响其他容器或宿主机的稳定性。本指南将详细介绍如何通过Docker命令和配置文件实现资源限制，并分析实际应用场景。

概述[编辑 | 编辑源代码]

Docker默认不对容器使用的资源设限，但通过以下参数可限制容器的资源使用：

• CPU限制：分配CPU份额或绑定核心
• 内存限制：设置内存和交换空间上限
• 磁盘I/O限制：控制读写带宽
• 进程数限制：防止fork炸弹攻击

CPU资源限制[编辑 | 编辑源代码]

CPU份额（相对权重）[编辑 | 编辑源代码]

通过--cpu-shares设置容器的CPU优先级（默认1024），值越高分配的CPU时间越多，但仅在CPU竞争时生效。

  
# 启动两个容器，分别分配512和2048的CPU份额  
docker run -d --name container1 --cpu-shares 512 nginx  
docker run -d --name container2 --cpu-shares 2048 nginx

• • 说明**：当CPU满载时，container2获得的CPU时间是container1的4倍。

CPU核心绑定[编辑 | 编辑源代码]

使用--cpuset-cpus将容器绑定到特定CPU核心：

  
# 限制容器仅使用第一个CPU核心（核心0）  
docker run -d --cpuset-cpus="0" nginx

硬性CPU限制[编辑 | 编辑源代码]

通过--cpus直接限制容器可用的CPU核数：

  
# 限制容器最多使用1.5个CPU核心  
docker run -d --cpus="1.5" nginx

内存资源限制[编辑 | 编辑源代码]

内存上限[编辑 | 编辑源代码]

使用--memory（或-m）设置容器内存上限：

  
# 限制容器内存为500MB  
docker run -d -m 500m --name mem_limited nginx

• • 注意**：超过限制时，容器进程可能被OOM Killer终止。

内存+交换空间限制[编辑 | 编辑源代码]

通过--memory-swap设置总内存（RAM+Swap）上限：

  
# 允许使用500MB内存+1GB交换空间  
docker run -d -m 500m --memory-swap 1.5g nginx

磁盘I/O限制[编辑 | 编辑源代码]

读写带宽限制[编辑 | 编辑源代码]

使用--device-read-bps和--device-write-bps限制设备读写速率：

  
# 限制对/dev/sda的写入速度为1MB/s  
docker run -it --device-write-bps /dev/sda:1mb ubuntu bash

实际案例[编辑 | 编辑源代码]

场景：多租户环境资源隔离[编辑 | 编辑源代码]

在共享宿主机上运行多个容器时，需避免某个容器耗尽资源：

• • 配置示例**：

  
# 启动高优先级数据库容器  
docker run -d --name db \  
    --cpus=4 --memory=4g \  
    --cpu-shares=2048 \  
    postgres  

# 启动低优先级批处理容器  
docker run -d --name batch \  
    --cpus=1 --memory=512m \  
    --cpu-shares=512 \  
    python batch_script.py

数学模型[编辑 | 编辑源代码]

CPU份额的分配遵循以下公式（当CPU竞争时）： ${\displaystyle \text{容器CPU时间}=\frac{\text{容器CPU份额}}{\sum \text{所有容器CPU份额}}\times \text{总CPU时间}}$

最佳实践[编辑 | 编辑源代码]

• 生产环境中**必须**设置内存限制
• 避免过度分配CPU份额导致资源碎片化
• 使用docker stats实时监控资源使用

通过合理配置资源限制，可以显著提升容器化环境的稳定性和性能。