如何对 docker-compose 容器施加 cgroup V2 限制
问题描述 投票:0回答:1
我想对 Docker-Compse 容器施加 cgroups V2 资源限制。 我如何实现这一目标?
1个回答
投票
简介:
尽管 Cgroups 在主机级别有文档记录,但没有大量关于将其挂接到 docker-compose 容器的文档。我拼凑了一个可行的解决方案,多年来我一直在面向公众的 docker-compose 容器上使用该解决方案。所以感觉它已经经过了充分的战斗考验。
以下配置适用于比指定版本更早的版本,但此处提供的配置已在以下版本中验证为正确,但应该可以在任何运行支持 Cgroup v2 的 systemd 的现代发行版上进行移植,无需修改:
- Ubuntu 24.04.1 LTS
- 使用 v3.9 格式化的 docker-compose 文件
已添加到容器中以验证资源限制是否有效stress-ng- 在具有 8GB RAM 的 Raspberry Pi 4 上运行的 AARCH64 容器
配置是容器特定的:容器级别没有配置,只有主机和 docker-compose 级别。因此,解决方案应该“适用于”您用来切割容器的任何容器架构。仅供参考,我使用 Docker Desktop 和
buildx配置-容器:
使用
stress-ng配置-主机:
在以下路径中创建一个名为“docker.slice”的文件:
/etc/systemd/system/docker.slice下面是适合我的目的的通用配置,因此显然适合您自己的用例:
[Unit]
Description=Slice that limits docker resources
Before=slices.target
[Slice]
MemoryAccounting=true
CPUAccounting=true
TasksMax=30%
AllowedCPUs=1-3
# NOTE: If a slice is restricted to 3 of 4 cores, max avail. CPUQuota= 300%, NOT 400%
CPUQuota=300%
# CPUWeight value range: 1-10000
CPUWeight=8000
MemoryLow=1G
MemoryHigh=2G
MemoryMax=2G
# IOWeight value range: 1-10000
IOWeight=5000
然后阅读更改:
systemctl daemon-reload
配置-Docker-Compose:
在 docker-compose 文件中,使用
cgroup_parent cgroup_parent: docker.slice
Jason 格式化:在我的 docker-compose 文件中,我在第 5 个空格上添加
cgroup_parent测试:
压力测试:
我们将使用
stress-ngstress-ngstress-ng --cpu 0 --iomix 4 --vm 16 --vm-bytes 4G --timeout 180s --metrics
请注意,
docker.slicestress-ng命令中使用了4G。因此,我们永远不应该看到任何高于 2G 的东西都是幸福的。
0cpus资源限制监控:
打开新的终端窗口/选项卡以运行以下监控命令,以验证施加的限制是否具有有意义的效果。
注意:这些命令将从 THE HOST 运行 - 而不是在容器内。
systemctl status docker.slice
systemd-cgtop
我截取了一些屏幕截图以保持格式整洁,但出于说明目的,输出并未被截断,否则使用
stress-ngsystemctl status docker.slice
systemd-cgtop
结论:
关于为 docker-compose 容器配置 Cgroup v2 支持,有很多 oogatz,并且考虑到在企业中运行容器化基础设施的重要性,只是想帮助其他正在努力实现资源限制的人。如果我错过了任何步骤——我不相信我错过了——请给我评论,我会解决它。由于我不久前将 OpenLDAP 移植到 AARCH64 Docker 容器,所以这个过程应该是全面的。
同样,如果有人有任何改进解决方案的意见,如果您在评论部分告诉我,我会很乐意更新答案。
希望这可以节省人们使用 Docker 容器来掌握 Cgroup V2 的时间!
-泰伦斯·霍拉汉
最新问题
- 如何在Android Kotlin中每5秒致电API?
- Sci-kit学习:研究错误分类的数据
- 如何从C#中的QueryPerformancecount
- 不能将ApplicationSights的度量添加到Azure
- 我如何禁用,在键入点(。)视觉工作室后会自动打印fileStyleUriparSer? 不要误会我的意思,我想要这些建议,但我不希望Visual Studio自动
- 我有一个vba excel模型,我将其分为两个单独的工作簿: 包含模型的所有输入的InputswB, RunnerWB,其中包含大部分VBA代码(以及所有
- 在bash中``读''的目的是什么?您如何使用它?
- 如何在C#中为帐户中创建持久字典?
- 如何从另一个数组的值中生成一个随机数组,其值的总和在预定的范围内? 我有一系列正整数,例如[10,25,40,55,80,110]。 我想能够指定一个范围,例如100-150,并从此预先存在的数组中生成一个新数组,其中新的
- 如何支持更改登录电子邮件与Auth0
- 我正在尝试将JS文件保存在Chrome覆盖文件的指定文件夹中,并且每当我按右键单击然后单击“保存为覆盖”时,该文件就不会保存在文件夹中。 \
- 以下反应组件之间有什么区别? [重复]
- 我们如何在角度测试httpresource? 我喜欢Angular的新httpresource,它做了很多我很久以来一直想要的事情。它确实可以使生活更轻松。 但是,我在用茉莉花测试httpresource时遇到麻烦...
- 如何在.NET应用程序中访问GCP Secret Manager,并配置了代理? 我在Google Cloud Run上托管了一个.NET应用程序,需要访问GCP Secret Manager。我的应用程序可以正常工作,但是当我使用环境变量设置代理时(http ...
- 每个子图旁边的传说,python
- 将GhostPCL与图像转换为PDF
- 我有一个IoT中心和用Python编写的Azure函数应用程序。我希望Azure功能能够触发Hub收到的消息。
- 在运行Django测试之前,加载SQL转储
- 如何在我的React节点项目中添加自定义HLS依赖关系的正确方法? 我想从https://github.com/video-dev/hls.js修改来源,然后将其添加到我的项目中。 我下载了https://github.com/video-dev/hls.js消息来源,进行了一些更改,并运行了NPM Run Build。 t ...
- 有人可以在MaxScript中解释struct定义内部的结构定义。