如何限制Docker总资源？

Question 1

对于其他需要这个问题完整答案的人，我正在做一个完整的回顾：

首先，我创建了一个名为 docker_limit 的切片：

创建一个文件以/etc/systemd/system/docker_limit.slice

[Unit]
Description=Slice that limits docker resources
Before=slices.target

[Slice]
CPUAccounting=true
CPUQuota=700%
#Memory Management
MemoryAccounting=true
MemoryLimit=25G

启动单位：systemctl start docker_limit.slice

编辑/etc/docker/daemon.json

{
  "cgroup-parent": "docker_limit.slice"
}

重新启动 Docker 守护进程：systemctl restart docker

为了验证所有工作是否按预期进行：systemd-cgtop，您应该看到下列出的进程docker_limit.slice。例如：

归功于@rwos

Answer

对于其他需要这个问题完整答案的人，我正在做一个完整的回顾：

首先，我创建了一个名为 docker_limit 的切片：

创建一个文件以/etc/systemd/system/docker_limit.slice

[Unit]
Description=Slice that limits docker resources
Before=slices.target

[Slice]
CPUAccounting=true
CPUQuota=700%
#Memory Management
MemoryAccounting=true
MemoryLimit=25G

启动单位：systemctl start docker_limit.slice

编辑/etc/docker/daemon.json

{
  "cgroup-parent": "docker_limit.slice"
}

重新启动 Docker 守护进程：systemctl restart docker

为了验证所有工作是否按预期进行：systemd-cgtop，您应该看到下列出的进程docker_limit.slice。例如：

归功于@rwos

Question 2

cgroup_parent在 in/etc/docker/daemon.json前面加上 a前缀/，因此 cgroup 名称是绝对的。否则，docker 会将容器放入守护进程 cgroup 的子 cgroup 中：

{
    "cgroup-parent": "/docker_limit.slice"
}

如果没有/，根据您的系统，容器可能最终会出现在/system.slice/containerd.service/docker_limit.slice或类似的情况下。

systemd-cgtop或者systemd-cgls可以用来检查事情最终运行的位置。

Answer

cgroup_parent在 in/etc/docker/daemon.json前面加上 a前缀/，因此 cgroup 名称是绝对的。否则，docker 会将容器放入守护进程 cgroup 的子 cgroup 中：

{
    "cgroup-parent": "/docker_limit.slice"
}

如果没有/，根据您的系统，容器可能最终会出现在/system.slice/containerd.service/docker_limit.slice或类似的情况下。

systemd-cgtop或者systemd-cgls可以用来检查事情最终运行的位置。

Question 3

我有一个具有 1 个 CPU 和 2GB RAM（禁用交换）的虚拟机。
因此，我使用以下参数创建了切片：

# cat /etc/systemd/system/docker_limit.slice
[Unit]
Description=Slice that limits docker resources
Before=slices.target

[Slice]
CPUAccounting=true
CPUQuota=90%
MemoryAccounting=true
MemoryHigh=1G
MemoryMax=1.2G

我做了和你一样的事情，除了守护进程中的本机 cgroupdriver：

# cat /etc/docker/daemon.json 
{
    "exec-opts": ["native.cgroupdriver=systemd"],
    "cgroup-parent": "docker_limit.slice"
}

然后我运行 docker 容器：

docker run --name stress-test -d ubuntu:18.04 sleep 10000

并在 2 个窗口中打开我的虚拟机。在第一个窗口中，我跑了stress。在第二个窗口中，我运行了docker stats command. CPU 约为 90%+-（htop 确认了这一点，我看到一些峰值高达 91%），当 RAM 接近 1.2G 时，该进程退出并显示以下消息：

# stress --cpu 1 --vm 1 --vm-bytes 1300M
stress: info: [334] dispatching hogs: 1 cpu, 0 io, 1 vm, 0 hdd
stress: FAIL: [334] (415) <-- worker 336 got signal 9
stress: WARN: [334] (417) now reaping child worker processes
stress: FAIL: [334] (451) failed run completed in 4s

Answer

我有一个具有 1 个 CPU 和 2GB RAM（禁用交换）的虚拟机。
因此，我使用以下参数创建了切片：

# cat /etc/systemd/system/docker_limit.slice
[Unit]
Description=Slice that limits docker resources
Before=slices.target

[Slice]
CPUAccounting=true
CPUQuota=90%
MemoryAccounting=true
MemoryHigh=1G
MemoryMax=1.2G

我做了和你一样的事情，除了守护进程中的本机 cgroupdriver：

# cat /etc/docker/daemon.json 
{
    "exec-opts": ["native.cgroupdriver=systemd"],
    "cgroup-parent": "docker_limit.slice"
}

然后我运行 docker 容器：

docker run --name stress-test -d ubuntu:18.04 sleep 10000

并在 2 个窗口中打开我的虚拟机。在第一个窗口中，我跑了stress。在第二个窗口中，我运行了docker stats command. CPU 约为 90%+-（htop 确认了这一点，我看到一些峰值高达 91%），当 RAM 接近 1.2G 时，该进程退出并显示以下消息：

# stress --cpu 1 --vm 1 --vm-bytes 1300M
stress: info: [334] dispatching hogs: 1 cpu, 0 io, 1 vm, 0 hdd
stress: FAIL: [334] (415) <-- worker 336 got signal 9
stress: WARN: [334] (417) now reaping child worker processes
stress: FAIL: [334] (451) failed run completed in 4s

Question 4

rwos 提出的上述建议（不幸的是我无法直接评论该帖子）对我不起作用。

在 /etc/docker/daemon.json 中的 cgroup_parent 前面加上 / 前缀，因此 cgroup 名称是绝对名称。

我收到此错误：

来自守护程序的错误响应：无法为容器创建任务：无法创建 shim 任务：OCI 运行时创建失败：runc 创建失败：切片名称无效：/docker_limit.slice：未知

如果没有“/”前缀，我的 docker 容器就会启动。有了它，他们就不会了。

Answer