Docker容器对CPU资源隔离的几种方式

sunage001

摘要：了解Docker的同学应该知道，Docker的一个很大的特性就是可以对各种资源做隔离以及限制，这些资源包括CPU、内存、网络、硬盘，关于内存、网络、硬盘的资源限制都比较好理解，无非就是分多少用多少，比如给这个容器分1G内存，那就最多能用1G的内存，但是对于CPU的限制就不是那么好理解了，而且配置起来相对来说也更复杂一些。
了解Docker的同学应该知道，Docker的一个很大的特性就是可以对各种资源做隔离以及限制，这些资源包括CPU、内存、网络、硬盘，关于内存、网络、硬盘的资源限制都比较好理解，无非就是分多少用多少，比如给这个容器分1G内存，那就最多能用1G的内存，但是对于CPU的限制就不是那么好理解了，而且配置起来相对来说也更复杂一些。
首先要知道的是Docker的资源隔离是基于Cgroups的， 前面的文章 里提到的coolshell的科普文章 《Docker基础技术：Linux CGroup》 里有做一些基本的介绍和使用方法，想要深入了解的话可以看下 redhat上的文档 ，因为今天主要是说对CPU资源的隔离，所以可以深入看下 关于CPU的这一章 。
从 Docker的官方文档 里可以看到，在通过Docker run这条命令启动一个容器时可以通过--cpu-shares --cpu-period以及--cpu-quota这三个参数来控制容器对CPU的使用，但是并没有做太详细的介绍以及示例，所以理解起来稍微有些困难。比如--cpu-shares和其他两个参数一起用会有什么效果？
我们一个个来看，先看--cpu-shares，默认情况下所有容器的share（简单理解成是权重吧）是相同的，也就是所有容器有相同的权重，在所有容器一起竞争资源时，最终得到的资源是相同的。这个share是一个相对的值，那么这个值的意义就不能单纯的通过一个容器的share值来看，而是多个在一起对比，比如A和B两个容器，A配置的是1024，B配置的是512，那么A最大可以使用的CPU资源是B的两倍。还有一点要注意的是这种配置是有弹性的，如果A容器一直闲着，那B容器是可以使用空闲资源的。
再来看--cpu-period和--cpu-quota，为啥把这两个参数放一起呢？因为这两个参数是相互配合的，在redhat的那篇文档里讲的很清楚，--cpu-period和--cpu-quota的这种配置叫 Ceiling Enforcement Tunable Parameters ，--cpu-shares的这种配置叫 Relative Shares Tunable Parameters 。--cpu-period是用来指定容器对CPU的使用要在多长时间内做一次重新分配，而--cpu-quota是用来指定在这个周期内，最多可以有多少时间用来跑这个容器。跟--cpu-shares不同的是这种配置是指定一个绝对值，而且没有弹性在里面，容器对CPU资源的使用绝对不会超过配置的值。
比如说A容器配置的--cpu-period=100000 --cpu-quota=50000，那么A容器就可以最多使用50%个CPU资源，如果配置的--cpu-quota=200000，那就可以使用200%个CPU资源。
如果这两种配置方式一起使用呢？我简单测试了下，应该是取两个配置的交集，目前还没做具体的测试，等做了具体的测试再把相关的数据在这里记录一下，不过配置这么复杂也没太大必要。
那么有什么样的应用场景呢？简单举个例子，加入对外提供A和B两个服务，但是A的优先级比B要高，假如只用--cpu-shares来配置，从实际经验来看，B服务占用资源太高时是会对A有一定的影响的，但是具体原因我还没去深入了解，但是如果通过--cpu-period和--cpu-quota来配置，就能起到绝对的控制，做到无论B怎么样，都不会影响到A。
对了，我这里特意没提到CFS这个概念，因为有点复杂，一上来就说这个东西会让人有点懵，但是理解了上面的那些东西后再看CFS就可以加深对上面那些概念的理解。CFS是Linux内核2.6.23版本开始采用的进程调度器，可以翻译为完全公平调度器，它的基本原理是这样的：设定一个周期，目标是让每个进程在这个周期内至少有机会运行一次，然后根据进程的数量，大家平分这个调度周期内的CPU使用权，如果有配置进程的优先级，在分割调度周期的时候要加权。
　　本文出自来自： http://dockone.io/article/1102