Debian系统中Docker资源限制如何设置

Debian系统中Docker资源限制设置方法

1. 使用docker run命令直接设置（单容器临时限制）

这是最常用的临时限制方式，适用于快速测试或单容器场景。通过docker run命令的参数直接指定资源边界：

• CPU限制：
  • --cpus=<数值>：限制容器可使用的CPU核心数（如--cpus=2表示最多使用2个核心）；
  • --cpu-shares=<数值>：设置CPU相对权重（默认1024，值越大优先级越高，适用于资源共享场景）；
  • --cpuset-cpus="<核心列表>"：将容器绑定到特定CPU核心（如--cpuset-cpus="0,1"表示仅使用CPU 0和1）。
• 内存限制：
  • --memory=<大小>（如--memory=512m）：设置容器最大可用内存，超出会触发OOM（Out of Memory）；
  • --memory-swap=<大小>：设置物理内存+交换空间的总限制（如--memory=512m --memory-swap=1g表示内存512MB+交换空间512MB）；
  • --memory-reservation=<大小>：设置内存预留值（系统会尽量保证容器至少获得该值，即使宿主机内存紧张）；
  • --oom-kill-disable：禁用OOM Killer（容器内存溢出时不会被杀死，而是暂停）。
• 磁盘I/O限制：
  • --blkio-weight=<数值>（10-1000）：设置块设备I/O权重（值越大优先级越高）；
  • --device-read-bps=<设备路径>:<速率>（如--device-read-bps=/dev/sda:1mb）：限制对特定设备的读取带宽（1MB/s）；
  • --device-write-bps=<设备路径>:<速率>：限制对特定设备的写入带宽。
• 网络与进程限制：
  • --device-read-iops=<设备路径>:<次数>/--device-write-iops=<设备路径>:<次数>：限制设备读写IOPS；
  • --pids-limit=<数值>：限制容器内可创建的进程数（如--pids-limit=100）。
• 文件描述符限制：
  • --ulimit nofile=<软限制>:<硬限制>（如--ulimit nofile=1024:2048）：设置容器内进程的文件描述符限制。

2. 使用Docker Compose配置（多容器项目限制）

若使用Docker Compose管理多容器应用，可在docker-compose.yml文件中通过deploy.resources字段定义资源限制（需Docker Compose版本≥3）：

version: '3'
services:
  web:
    image: nginx:latest
    deploy:
      resources:
        reservations:  # 资源预留（系统保证的最小资源）
          cpus: '0.5'       # 预留0.5个CPU核心
          memory: 256M      # 预留256MB内存
        limits:           # 资源上限
          cpus: '1'         # 最多使用1个CPU核心
          memory: 512M      # 最多使用512MB内存
  db:
    image: postgres:latest
    deploy:
      resources:
        limits:
          memory: 1g
          blkio-weight: 500

需通过docker-compose up -d启动服务，Compose会自动应用这些限制。

3. 修改Docker Daemon配置（全局默认限制）

若需要为所有容器设置默认资源限制，可修改Docker Daemon的配置文件/etc/docker/daemon.json（若文件不存在则新建）：

{
  "default-ulimits": {  // 默认ulimit设置
    "nofile": {
      "Name": "nofile",
      "Hard": 65536,
      "Soft": 65536
    },
    "memlock": {
      "Name": "memlock",
      "Hard": -1,
      "Soft": -1
    }
  },
  "exec-opts": ["native.cgroupdriver=systemd"],  // 使用systemd作为cgroup驱动（推荐）
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m",
    "max-file": "3"
  }
}

修改后需重启Docker使配置生效：

sudo systemctl restart docker

此方式会影响所有新启动的容器（已运行的容器需重启才会应用）。

4. 手动操作cgroups（细粒度手动控制）

Docker底层依赖Linux cgroups（控制组）实现资源限制，可通过手动操作cgroups实现更细粒度的调整（适合高级用户）：

• 创建cgroup：

  sudo cgcreate -g cpu,memory:/my_container  # 创建名为my_container的cgroup，包含cpu和memory子系统
  

• 设置CPU限制：

  echo 50000 > /sys/fs/cgroup/cpu/my_container/cpu.cfs_quota_us  # 限制CPU时间为50000微秒（周期为100000微秒，即50% CPU使用率）
  echo 100000 > /sys/fs/cgroup/cpu/my_container/cpu.cfs_period_us
  

• 设置内存限制：

  echo 2147483648 > /sys/fs/cgroup/memory/my_container/memory.limit_in_bytes  # 限制内存为2GB（2147483648字节）
  

• 将容器加入cgroup：

  CONTAINER_ID=$(docker inspect --format '{{.Id}}' <容器名或ID>)  # 获取容器PID
  sudo cgclassify -g cpu,memory:my_container $CONTAINER_ID  # 将容器进程加入cgroup
  

注意：手动操作cgroups需谨慎，错误配置可能导致容器无法启动或系统不稳定。

注意事项

• 资源限制的单位：内存常用b（字节）、k（KB）、m（MB）、g（GB）；CPU常用核心数（如1）或权重（如512）。
• 生效时机：docker run和Compose配置在容器启动时生效，Daemon配置需重启Docker，cgroups需手动操作。
• 生产建议：优先使用Docker Compose或Daemon配置管理资源限制，避免频繁手动操作；对于关键业务，建议设置memory-reservation防止OOM。