Docker 数据管理、容器互联、网络与资源控制

一、docker数据管理

管理 Docker 容器中数据主要有两种方式：数据卷(Data volumes)和数据卷容器(Datavolumes containers)。

1、数据卷

数据卷是一个供容器使用的特殊目录，位于容器中。可将宿主机的目录挂载到数据卷上，对数据卷的修改操作立即可见，并且更新数据不会影响镜像，从而实现在宿主机与容器之间的迁移。数据卷的使用类似于Linux下对目录进行的mount操作

格式：docker run -d -v 宿主机绝对路径:容器绝对路径[:ro]  镜像名:标签  [容器启动命令]

#将宿主机目标|文件挂载到容器的数据卷

2、数据卷容器

如果需要在容器之问共享一些数据，最简单的方法就是使用数据卷容器。数据卷容器是一个普通的容器，专门提供数据卷给其他容器挂载使用。

格式：

docker run -d  -v  容器绝对路径  镜像名:标签  [容器启动命令] 

#创建数据卷容器的数据卷

docker run -d  --volumes-from 数据卷容器名 镜像名:标签  [容器启动命令]                     

#共享数据卷容器的数据卷

二、docker容器互联

默认情况下docker容器重新创建后，对应的容器IP地址可能会改变，这样如果两个容器之间通信就会变得非常麻烦，每次都要修改通信的IP地址。容器互联是通过容器的名称在容器问建立一条专门的网络通信隧道。简单点说，就是会在源容器和接收容器之间建立一条隧道，接收容器可以看到源容器指定的信息

docker run -d --name 容器名 --link 目标容器名:连接别名 镜像名:标签  [容器启动命令]

#可实现在容器内通过目标容器名或连接别名与目标容器通信

三、docker网络

1、端口映射

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP(容器IP)，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

格式:

docker run -d --name 容器名 -P 镜像名:标签  [容器启动命令]                                              

#使用从32768开始的随机端口映射容器

docker run -d --name 容器名 -p 宿主机端口:容器端口 镜像名:标签  [容器启动命令]            

 #使用指定的宿主机端口映射容器

2、查看容器的输出和日志信息

只会显示容器pid=1的主进程日志

格式：docker logs 容器的ID|名称

3、docker 的网络模式（重点）

①docker网络模式概述

• bridge

docker的默认网络模式。使用此模式的每个容器都有独立的网络命名空间namespace，即每个容器都有独立的IP、端口范围（每个容器可以用同一个端口）、路由、iptables规则等网络资源。
命令：docker run [--network=bridge] ....

• host

容器与宿主机共享网络namespace，即容器和宿主机使用同一个IP、端口范围（容器与宿主机或其它使用host模式的容器不能用同一个端口）、路由、iptables规则等网络资源。
命令：docker run --network=host ....

• container

和指定已存在的容器共享网络namespace，即这两个容器使用同一个IP、端口范围（容器与指定的容器不能用同一个端口）、路由、iptables规则等网络资源。
命令：docker run --network=container:容器名|容器ID ....

• none

每个容器都有独立的网络namespace，但是容器没有自己的eth0网卡、IP、端口等，只有lo网卡。
命令：docker run --network=none ....

• 自定义网络

可以用来自定义创建一个网段、网桥、网络模式，从而可以创建容器时自定义容器IP
docker network create --subnet 自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名"  自定义网络模式名
命令：docker run --network 自定义网络模式名  --ip 自定义容器IP ....

②container

③自定义网络

创建自定义网络：

格式：

docker network create --subnet 自定义网段 --opt "com.docker.network.bridge.name"="自定义网桥名"  自定义网络模式名

再使用指定IP运行docker：

格式：

docker run -itd --name 自定义容器名 --network 自定义网络模式名 --ip 自定义IP centos:7 /bin/bash

四、docker资源控制

docker 通过 Cgroup 来控制容器使用的资源配额，包括CPU、内存、磁盘三大方面， 基本覆盖了常见的资源配额和使用量控制。

1、CPU 资源控制

①设置CPU使用率上限

使用 --cpu-period 即可设置调度周期，使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用。

CFS 周期的有效范围是 1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000。

格式：

针对新建的容器：
docker run --cpu-period 单个CPU调度周期时间(1000~1000000)  --cpu-quota 容器进程能够使用的最大CPU时间(>=1000)

针对已存在的容器：
修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU调度周期时间)  cpu.cfs_quota_us(容器进程能够使用的最大CPU时间)  文件的值

②设置CPU资源占用比（只能在多个容器同时运行且CPU资源紧张时生效）

docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数

格式：

docker run --cpu-shares 容器进程最大占用CPU的份额(值为1024的倍数)

分别进入容器，进行压力测试：

yum install -y epel-release

yum install -y stress

stress -c 2

③设置容器绑定指定的CPU

先分配虚拟机4个CPU核数

docker run -itd --name test7 --cpuset-cpus 1,3 centos:7 /bin/bash

进入容器，进行压力测试

yum install -y epel-release

yum install stress -y

stress -c 4

退出容器，执行 top 命令再按 1 查看CPU使用情况。

2、对内存使用的限制

使用-m选项用于限制容器可以使用的最大内存，系统默认不限制容器的内存使用

docker run -id --name c3 -m 512m centos:7 /bin/bash

使用 --memory-swap选项限制可用的 swap 大小，--memory-swap的值表示容器可用内存和可用swap的总和，--memory-swap 是必须要与 -m一起使用的

格式：

docker run -m 内存值  --memory-swap 内存和swap的总值
                                    设置 0 或 不设置，表示swap为内存的2倍
                                    设置 -1，表示不限制swap的值，宿主机有多少容器即可使用多少
                                    设置 与 -m 一样的值，表示不使用swap

3、对磁盘IO配额控制（blkio）的限制

格式：

docker run --device-read-bps    磁盘设备文件路径:速率           

#限制容器在某个磁盘上读的速度
docker run --device-write-bps   磁盘设备文件路径:速率                  

#限制容器在某个磁盘上写的速度
docker run --device-read-iops   磁盘设备文件路径:次数                

 #限制容器在某个磁盘上读的次数
docker run --device-write-iops  磁盘设备文件路径:次数                  

#限制容器在某个磁盘上写的次数

创建容器，并限制写速度 

docker run -id --name c5 --device-write-bps /dev/sda:1M centos:7 /bin/bash

通过dd来验证写速度

dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct #添加oflag参数以规避掉文件系统cache（缓存）

4、清理docker占用的磁盘空间

docker system prune -a

可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络