What is 资源限制？

　　默认情况下，容器是没有资源限制的，它会尽可能地使用宿主机能够分配给它的资源。Docker提供了一种控制分配多少量的内存、CPU或阻塞I/O给一个容器的方式，即通过在docker run或docker create命令时设置运行时配置的标志。

其中许多功能都要求您的内核支持Linux功能，可以通过docker info命令来检查是否支持，如果内核中禁用了某项功能，那你可能会在下边收到一条Warning。

docker-info

　　在Linux主机上，如果内核检测到没有足够的内存来执行重要的系统功能，它会抛出一个OOME（Out Of Memory Exception），一旦发生OOME，Linux就会开始查杀进程以释放内存。任何进程都有可能会被杀死，包括docker daemon和其他重要的应用程序。如果错误的进程被杀死，这可会降低整个系统的使用效果。

限制Docker使用内存

　　在Docker中可以强行限制容器的资源使用的限制，即只允许容器使用不超过给定数量的系统内存或其他软限制。下面介绍几个最常用的选项，我们可以在docker run或docker create创建容器时指定，用以限制容器的资源使用限制。

限制Docker使用CPU

　　默认情况下，每个容器对主机CPU周期的访问权限是不受限制的。我们可以设置各种约束来限制给定容器访问主机的CPU周期。大多数用户使用和配置CFS调度程序（默认）或实时调度程序。下面介绍几个常用的选项，用于配置默认的CFS调度程序，以限制容器对于CPU的使用。

验证Docker资源限制

　　（1）查看宿主机的资源信息

lscpu

free -h

可以看出，我是个穷逼，只买得起这个配置的云服务器（个人用）

　　（2）拉取用于压测的镜像

docker pull lorel/docker-stress-ng

　　更多关于docker-stress-ng镜像的说明请参考docker hub上的官方文档：https://hub.docker.com/r/lorel/docker-stress-ng/

　　（3）如果想要查看docker-stress-ng的用法，可以使用以下命令借助--help来获取选项的含义

docker run --name stress --rm lorel/docker-stress-ng:latest stress --help

　　在帮助文档中，给出了一个Example：

stress-ng --cpu 8 --io 4 --vm 2 --vm-bytes 128M --fork 4 --timeout 10s

　　下面是它的重要选项的说明：

• -c N, --cpu N 启动 N 个子进程（ cpu ）
• --vm N 启动 N 个进程对内存进行压测
• --vm-bytes 128M 每个子进程使用多少内存（默认 256M ）

　　（4）测试内存使用限制

docker run --name stress -it --rm -m 256m lorel/docker-stress-ng:latest stress --vm 2

　　说明：

• 限制内存使用最多256M
• 开启压测启动2个进程，每个进程使用256M（默认值）

　　验证：

docker stats stress

　　可以看到，无论启动多少个使用256M的进程做压测（这里启动了2个进程，按理会使用512MB内存），stress容器的最大内存使用量始终维持在256MB。

　　（5）测试CPU使用限制

docker run --name stress --rm --cpus 1 lorel/docker-stress-ng:latest stress --cpu 4

　　这里由于我的宿主机只有2个CPU，因此这里限制stress容器只能使用最多1个CPU，但是压测进程可以使用4个CPU。

　　验证：

docker stats stress

　　可以看到，无论压测的进程被允许使用多少个CPU，stress的CPU使用量始终在100%左右（存在一定误差是正常的）。

那么，如果我们不限制CPU呢？

docker run --name stress --rm lorel/docker-stress-ng:latest stress --cpu 4

　　从上图可知，stress容器会尽可能地吃掉尽可能多的CPU资源，由于宿主机只有2个CPU，因此原则上不会使用超过200%的CPU（当然，也会存在一定的误差，正常的）

小结

　　本文探索了Docker的资源限制相关知识，在日常开发中应该给容器设置一个合理的资源限制值，以防出现OOME的情况导致Linux杀掉错误的进程。

​