Docker 资源管理与限制完全指南

• 1. 基础概念与技术原理
  • 1.1 cgroups 控制组技术
  • 1.2 Docker 资源限制机制
• 2. CPU 资源限制与调度策略
  • 2.1 CPU 份额控制（相对权重）
  • 2.2 CPU 核心数量限制
  • 2.3 CPU 周期控制（绝对时间配额）
  • 2.4 CPU 限制总结
• 3. 内存资源管理策略
  • 3.1 物理内存限制
  • 3.2 内存与 Swap 配置策略
  • 3.3 内存限制最佳实践
• 4. 磁盘 IO 性能控制
  • 4.1 Block IO 权重管理
  • 4.2 绝对速率限制（bps/iops）
  • 4.3 磁盘 IO 性能测试
• 5. GPU 资源分配与管理
  • 5.1 GPU 支持环境准备
  • 5.2 GPU 资源分配策略
  • 5.3 GPU 资源最佳实践
• 6. 服务扩展与副本管理
  • 6.1 --scale 参数用法
  • 6.2 --replicas 参数用法
  • 6.3 --ulimits 参数用法
• 7. 生产环境配置示例
  • 7.1 综合资源配置
  • 7.2 资源监控与调优
  • 7.3 参数对比与选择指南
• 8. 总结与最佳实践建议

1. 基础概念与技术原理

1.1 cgroups 控制组技术

cgroups（control groups）是 Linux 内核提供的一项强大功能，用于限制、隔离和监控进程组对系统资源的使用。默认情况下，Docker 容器会尽可能占用宿主机的资源（CPU、内存、磁盘 IO 等），若不限制容器资源，高负载容器可能吞噬所有硬件资源，导致其他容器因资源不足而停服。

Docker 通过 cgroup（Control Groups） 实现资源管理，支持对以下资源进行精确控制：

• CPU 使用时间、核心分配和调度权重
• 内存使用量限制和 Swap 空间管理
• 磁盘 IO 带宽控制和 IOPS 限制
• 网络带宽管理和设备访问权限
• GPU 资源分配与管理

1.2 Docker 资源限制机制

Docker 通过 cgroups 为每个容器创建独立的资源控制组，实现容器间的资源隔离。在多容器环境中，合理的资源分配能够确保系统稳定性，避免资源竞争导致的服务中断。

资源类型主要分为两大类：

• 可压缩资源：如 CPU，当容器不用时，其他容器可占用其空闲资源
• 不可压缩资源：如内存，当容器内存不足时，会触发 OOM Killer 杀死进程

2. CPU 资源限制与调度策略

CPU 是可压缩资源，Docker 提供三种 CPU 限制方式来实现灵活的 CPU 资源管理。

2.1 CPU 份额控制（相对权重）

通过 -c 或 --cpu-shares 参数设置容器的 CPU 时间比例（相对权重），默认值为 1024。

# containerA 的 CPU 权重为 1024（默认）
docker run -d --name containerA -c 1024 ubuntu

# containerB 的 CPU 权重为 512（是 containerA 的 1/2）
docker run -d --name containerB -c 512 ubuntu

重要特性：当两个容器同时运行时，容器 A 占用 CPU 的比例为 1024/(1024+512)=2/3。若容器 B 未运行进程，容器 A 可占用容器 B 的空闲 CPU 资源；若容器 B 启动进程，CPU 资源将按比例重新分配。

2.2 CPU 核心数量限制

从 Docker 1.13 版本开始，提供了更直观的 CPU 限制方式：

# 限制容器最多使用 2.5 个 CPU 核心
docker run -it --rm --cpus=2.5 centos /bin/bash

# 限制容器运行在指定 CPU 核心上
docker run -it --cpuset-cpus="1,3" ubuntu:20.04 /bin/bash
docker run -it --cpuset-cpus="0-2" ubuntu:20.04 /bin/bash

应用场景：强制容器仅使用指定的 CPU 核心，避免跨核调度的性能损耗，适合对延迟敏感的应用。

2.3 CPU 周期控制（绝对时间配额）

Linux CFS（完全公平调度器）默认调度周期为 100ms，可通过以下参数进行精确控制：

# 设置调度周期为 50ms，CPU 配额为 25ms（50% CPU 使用率）
docker run -it --cpu-period=50000 --cpu-quota=25000 centos /bin/bash

# 设置 CPU 配额为调度周期的两倍（使用 2 个 CPU 核心）
docker run -it --cpu-period=100000 --cpu-quota=200000 centos /bin/bash

参数说明：

• --cpu-period：设置 CPU 调度周期（单位：微秒，范围 1000~1000000，默认 100000）
• --cpu-quota：设置容器在一个周期内的 CPU 时间（单位：微秒，必须≥1000）

通过 --cpu-quota/--cpu-period 计算容器的 CPU 使用率上限。

2.4 CPU 限制总结

方式	参数	特点	适用场景
份额控制	-c/--cpu-shares	相对权重，可共享空闲资源	多容器环境资源分配
核控制	--cpuset-cpus/--cpus	绝对核数，隔离性强	延迟敏感应用
周期控制	--cpu-period/--cpu-quota	绝对时间配额，精确控制使用率	需要精确 CPU 控制

3. 内存资源管理策略

内存是不可压缩资源，当容器内存使用超过限制时，将触发 OOM Killer。Docker 支持限制物理内存和内存+Swap的使用。

3.1 物理内存限制

# 限制容器使用 200MB 物理内存和 100MB Swap（总 300MB）
docker run -d --name containerA -m 200M --memory-swap=300M ubuntu

# 限制容器使用 200MB 物理内存（Swap 默认为 200MB，总 400MB）
docker run -d --name containerB -m 200M ubuntu

参数说明：

• -m 或 --memory：设置物理内存使用上限
• --memory-swap：设置内存 + Swap 的总限制

3.2 内存与 Swap 配置策略

默认规则：若仅设置 -m 而未设置 --memory-swap，则 --memory-swap 默认为 -m 的 2 倍。

配置示例：

情况1：-m 200M --memory-swap=300M
  - 物理内存：200MB
  - Swap 空间：100MB

情况2：-m 200M（未指定 swap）
  - 物理内存：200MB  
  - Swap 空间：200MB

3.3 内存限制最佳实践

在生产环境中，建议遵循以下原则：

1. 预留系统内存：为宿主机操作系统保留至少 1-2GB 内存
2. 设置合理的 Swap：根据应用特性调整 Swap 大小
3. 监控内存使用：定期检查容器内存消耗趋势
4. 避免内存泄漏：设置合理上限防止应用异常消耗内存

4. 磁盘 IO 性能控制

磁盘 IO 限制用于控制容器对磁盘的读写速率，支持权重控制和绝对速率限制。

4.1 Block IO 权重管理

# containerA 的磁盘IO权重为600（默认500）
docker run -d --name containerA --blkio-weight=600 ubuntu

# containerB 的磁盘IO权重为300（是containerA的1/2）
docker run -d --name containerB --blkio-weight=300 ubuntu

作用机制：设置容器的磁盘 IO 相对权重，容器 A 的磁盘 IO 速率是容器 B 的 2 倍。

4.2 绝对速率限制（bps/iops）

Docker 提供了对磁盘读写速度的精确控制能力：

# 限制容器对/dev/sda的写速率为30MB/s
docker run -d --name containerA --device-write-bps /dev/sda:30MB ubuntu

# 限制读取 IOPS 为 100 次/秒
docker run -it --device-read-iops /dev/sda:100 centos

# 限制写入 IOPS 为 50 次/秒  
docker run -it --device-write-iops /dev/sda:50 centos

参数说明：

• --device-read-bps：限制容器对指定设备的读速率
• --device-write-bps：限制容器对指定设备的写速率
• --device-read-iops：限制容器对指定设备的读 IOPS
• --device-write-iops：限制容器对指定设备的写 IOPS

注意事项：该限制仅对 direct IO（不使用文件缓存）有效。

4.3 磁盘 IO 性能测试

使用 dd 命令验证磁盘限制效果：

# 在容器内执行写入测试（必须使用 direct IO）
time dd if=/dev/zero of=test.out bs=1M count=800 oflag=direct

dd 命令参数说明：

• if=file：指定输入文件（/dev/zero 为空设备）
• of=file：指定输出文件
• bs=bytes：设置读写块大小
• count=blocks：指定拷贝的块数量
• oflag=direct：启用直接 IO 模式

5. GPU 资源分配与管理

Docker 19 及以上版本支持直接使用 GPU，无需安装 nvidia-docker。通过 --gpus 参数指定容器可使用的 GPU。

5.1 GPU 支持环境准备

# 检查 --gpus 参数支持
docker run --help | grep -i gpus

# 验证 NVIDIA 驱动
nvidia-smi

5.2 GPU 资源分配策略

# 使用所有 GPU
docker run --gpus all nvidia/cuda:9.0-base nvidia-smi

# 使用指定数量的 GPU
docker run --gpus 2 nvidia/cuda:9.0-base nvidia-smi

# 使用特定 GPU 设备
docker run --gpus 'device=1,2' nvidia/cuda:9.0-base nvidia-smi

# 通过 UUID 指定 GPU
docker run --gpus 'device=UUID-ABCDEF,1' nvidia/cuda:9.0-base nvidia-smi

5.3 GPU 资源最佳实践

1. 环境兼容性：确保 CUDA 版本与应用需求匹配
2. 资源规划：根据模型大小合理分配 GPU 显存
3. 多租户隔离：在多用户环境中实现 GPU 资源隔离
4. 监控告警：建立 GPU 使用率和温度监控机制

6. 服务扩展与副本管理

6.1 --scale 参数用法

--scale 参数用于动态调整服务的容器实例数量，适用于水平扩展场景。

# 启动服务时指定实例数量
docker-compose up -d --scale service_name=3

# 运行时动态调整实例数量
docker service scale service_name=5

# 示例：将 web 服务扩展到 3 个实例
docker-compose up -d --scale web=3

在 Docker Compose 中的配置：

services:
  web:
    image: nginx:alpine
    deploy:
      replicas: 3  # 固定实例数量
    ports:
      - "80:80"

6.2 --replicas 参数用法

--replicas 专用于 Swarm 模式，定义服务应维持的容器副本数量。

# 创建服务时指定副本数
docker service create --name web \
  --replicas 3 \
  -p 80:80 \
  nginx:alpine

# 修改运行中服务的副本数
docker service update --replicas 5 web

Swarm 特性：当节点故障时，Swarm 会自动在新节点重建副本，确保始终满足指定数量。

6.3 --ulimits 参数用法

--ulimits 用于设置容器资源限制：

• memlock：控制内存锁定大小（防止交换到磁盘）
• stack：设置线程堆栈大小

# 设置 memlock 无限制
docker run -it --ulimit memlock=-1:-1 redis

# 设置堆栈大小 8MB
docker run -d --ulimit stack=8192000:8192000 myapp

# 组合设置
docker run --name es \
  --ulimit memlock=-1:-1 \
  --ulimit stack=65536:262144 \
  elasticsearch:8.0

在 Docker Compose 中的配置：

version: '3.8'
services:
  database:
    image: postgres:14
    ulimits:
      memlock:
        soft: -1
        hard: -1
      stack:  # 单位: bytes
        soft: 67108864
        hard: 67108864

7. 生产环境配置示例

7.1 综合资源配置

以下是一个典型的微服务容器资源配置示例：

# Web 应用容器
docker run -d \
  --name web-app \
  --cpus="1.5" \
  -m 1024M \
  --memory-swap=1536M \
  --blkio-weight 500 \
  -p 8080:80 \
  nginx:alpine

# 数据库容器
docker run -d \
  --name database \
  --cpus="2.0" \
  -m 2048M \
  --memory-swap=3072M \
  --blkio-weight 800 \
  --device-write-bps /dev/sda:50MB \
  --ulimit memlock=-1:-1 \
  mysql:8.0

7.2 资源监控与调优

定期监控容器资源使用情况，及时调整配置：

# 实时监控容器资源使用
docker stats --format "table {{.Container}}\t{{.CPUPerc}}\t{{.MemUsage}}\t{{.BlockIO}}"

# 查看容器详细配置
docker inspect container_name | grep -A 10 -B 10 "Memory\|Cpu"

7.3 参数对比与选择指南

参数	适用模式	动态调整	配置文件位置	典型用例
--scale	Compose 服务	✅	CLI 参数	快速扩容
--replicas	Swarm 集群	✅	deploy.replicas	生产环境服务部署
--ulimits	单容器/服务	❌	services.ulimits	资源敏感型应用调优

8. 总结与最佳实践建议

Docker 资源限制是保证容器化应用稳定运行的关键技术。通过本文的详细介绍，我们了解了完整的资源管理体系：

1. 技术基础：cgroups 为 Docker 资源控制提供底层支持，实现进程组资源的限制、隔离和监控
2. CPU 管理：支持权重、核心数、调度周期等多维度控制，适应不同应用场景的需求
3. 内存控制：提供物理内存和 Swap 的精确限制机制，防止 OOM 异常
4. IO 优化：实现磁盘读写速度和 IOPS 的有效管控，保障存储性能
5. GPU 分配：原生支持 NVIDIA GPU 资源的灵活分配，满足 AI/ML 应用需求
6. 服务扩展：通过 scale 和 replicas 参数实现服务的水平扩展和高可用

在实际应用中，建议遵循以下最佳实践：

• 资源规划先行：根据应用特性合理规划资源配额，避免资源浪费或不足
• 渐进式调优：从保守配置开始，逐步优化资源分配
• 监控驱动优化：建立完善的资源监控体系，基于数据进行调整
• 预留安全边界：为系统和应用预留足够的资源缓冲
• 环境一致性：保持开发、测试、生产环境的资源配置一致性

通过合理的资源限制配置，我们能够构建更加稳定、高效的容器化应用环境，为业务的持续发展提供坚实的技术保障。