docker是怎么實(shí)現(xiàn)cpu隔離的？

Docker 使用 cgroups（控制組）來(lái)實(shí)現(xiàn) CPU 隔離。cgroups 是 Linux 內(nèi)核的一個(gè)功能，用于限制、統(tǒng)計(jì)和隔離一個(gè)進(jìn)程組的系統(tǒng)資源。對(duì)于 CPU 隔離，cgroups 提供了 CPU 子系統(tǒng)，Docker 利用這個(gè)子系統(tǒng)來(lái)限制容器的 CPU 使用。

具體來(lái)說(shuō)，Docker 使用以下步驟來(lái)實(shí)現(xiàn) CPU 隔離：

Cgroups 資源分配：在啟動(dòng)容器時(shí)，Docker 使用 cgroups 來(lái)為容器分配 CPU 資源。這涉及將容器的進(jìn)程組添加到 cgroups 中，以便內(nèi)核可以對(duì)其進(jìn)行資源管理。

設(shè)置 CPU 限制：Docker 允許用戶通過(guò)參數(shù)（如--cpus）指定容器可以使用的 CPU 核心數(shù)量。這通過(guò) cgroups 的 CPU 子系統(tǒng)來(lái)實(shí)現(xiàn)，限制容器進(jìn)程組對(duì) CPU 的訪問(wèn)。

CPU 調(diào)度：Docker 利用 cgroups 中的 CPU 調(diào)度機(jī)制，確保容器只能在其分配的 CPU 范圍內(nèi)運(yùn)行。這有助于防止容器占用主機(jī)上的所有 CPU 資源。

通過(guò)這些步驟，Docker 利用 Linux 內(nèi)核的 cgroups 功能，實(shí)現(xiàn)了對(duì)容器的 CPU 隔離，使得容器能夠在受限的資源環(huán)境中運(yùn)行。

被分配給docker的cpu，其他進(jìn)程還能使用這些cpu嗎？

Docker 使用 cgroups 來(lái)進(jìn)行 CPU 隔離，而 cgroups 允許將系統(tǒng)中的 CPU 資源劃分為不同的組。當(dāng)你為 Docker 容器分配 CPU 時(shí)，Docker 將創(chuàng)建一個(gè) cgroup，并將容器的進(jìn)程組添加到該 cgroup 中。這意味著該 cgroup 內(nèi)的進(jìn)程，即 Docker 容器內(nèi)的進(jìn)程，受到 CPU 限制。

其他未被 Docker 分配的進(jìn)程，仍然在默認(rèn)的 cgroup 中，可以使用系統(tǒng)中的所有 CPU 資源。因此，Docker 分配給容器的 CPU 并不會(huì)影響系統(tǒng)上運(yùn)行的其他進(jìn)程，它們?nèi)匀豢梢允褂梦幢?Docker 占用的 CPU 資源。

總的來(lái)說(shuō)，Docker 的 CPU 分配是一種限制容器內(nèi)進(jìn)程對(duì) CPU 資源的訪問(wèn)，而不會(huì)影響系統(tǒng)上其他進(jìn)程對(duì)未被分配的 CPU 資源的使用。

不同的docker，只能專用自己的cpu，是嗎？

是的，每個(gè) Docker 容器都可以被配置為專用自己的 CPU 資源，這是通過(guò) Docker 的 CPU 隔離功能實(shí)現(xiàn)的。當(dāng)你為 Docker 容器分配 CPU 時(shí)，你可以使用--cpus參數(shù)來(lái)指定容器可以使用的 CPU 核心數(shù)量。這樣，容器內(nèi)的進(jìn)程將受到這一限制，只能在指定數(shù)量的 CPU 核心上運(yùn)行。

例如，你可以運(yùn)行以下命令來(lái)啟動(dòng)一個(gè)名為 "my_container" 的 Docker 容器，并限制它只能使用 2 個(gè) CPU 核心：

docker run --cpus=2 --name my_container my_image

這就意味著 "my_container" 中的進(jìn)程只能在兩個(gè) CPU 核心上運(yùn)行，而不會(huì)占用系統(tǒng)上的所有可用 CPU 資源。其他未被分配的 CPU 資源仍然可供系統(tǒng)上的其他進(jìn)程使用。

被分配的2個(gè)cpu，是固定被該docker容器使用，還是說(shuō)上限是只能使用2個(gè)cpu，但是這2個(gè)cpu不是固定綁死的？

當(dāng)你使用--cpus參數(shù)為 Docker 容器分配 CPU 核心時(shí)，這是設(shè)置容器的 CPU 上限，而不是具體固定的 CPU。具體來(lái)說(shuō)：

上限限制：使用--cpus參數(shù)，你指定了容器可以使用的最大 CPU 核心數(shù)量。在你的例子中，--cpus=2表示容器的上限是 2 個(gè) CPU 核心。

動(dòng)態(tài)調(diào)度：這兩個(gè) CPU 核心并不是固定綁定給容器的，而是可以在這個(gè)范圍內(nèi)進(jìn)行動(dòng)態(tài)調(diào)度。容器的進(jìn)程可以在這兩個(gè)核心之間進(jìn)行切換，但總體而言，它們不會(huì)超過(guò)指定的上限。

這種動(dòng)態(tài)調(diào)度的方式使得容器可以根據(jù)系統(tǒng)負(fù)載和資源可用性動(dòng)態(tài)分配和釋放 CPU 資源，以更好地適應(yīng)變化的工作負(fù)載?？傊?，--cpus參數(shù)提供了一個(gè)上限限制，容器內(nèi)的進(jìn)程可以在這個(gè)范圍內(nèi)靈活調(diào)度。

問(wèn)題：我的意思是，假設(shè)現(xiàn)在有8個(gè)cpu，分別是cpu1到cpu8，然后分配2個(gè)cpu給某個(gè)docker進(jìn)程，這2個(gè)cpu是固定的某2個(gè)cpu，還是說(shuō)數(shù)量上限是2個(gè)cpu，但是具體是哪2個(gè)cpu，這個(gè)是動(dòng)態(tài)變化的，是這樣嗎？

我明白了你的意思。當(dāng)你使用--cpus參數(shù)為 Docker 容器分配 CPU 核心時(shí)，這是設(shè)置容器的 CPU 上限，而不是指定具體的 CPU 核心。具體來(lái)說(shuō)：

上限限制：使用--cpus參數(shù)，你指定了容器可以使用的最大 CPU 核心數(shù)量。在你的例子中，--cpus=2表示容器的上限是 2 個(gè) CPU 核心。

動(dòng)態(tài)分配：具體使用哪兩個(gè) CPU 核心是動(dòng)態(tài)變化的。Docker 和 Linux 的 cgroups 機(jī)制會(huì)在可用的 CPU 核心中動(dòng)態(tài)調(diào)度容器內(nèi)的進(jìn)程。這意味著容器內(nèi)的進(jìn)程可以在指定的上限內(nèi)，根據(jù)系統(tǒng)負(fù)載和資源可用性在可用的 CPU 核心之間動(dòng)態(tài)分配。

所以，雖然你設(shè)置了容器的 CPU 上限為 2 個(gè)核心，但具體是哪兩個(gè)核心是由 Docker 和 Linux 內(nèi)核根據(jù)系統(tǒng)條件動(dòng)態(tài)確定的。這種動(dòng)態(tài)分配的方式可以更好地適應(yīng)系統(tǒng)的變化和負(fù)載情況。

總結(jié)

cpu隔離指的是，數(shù)量有限制。

一個(gè)docker進(jìn)程，只能使用指定上限的cpu數(shù)量。

但是一個(gè)cpu，不是和某一個(gè)docker進(jìn)程綁定死的。

也就是說(shuō)，具體使用了哪幾個(gè)cpu，這個(gè)不是固定的。但是能使用的cpu數(shù)量上限，是固定的。

為什么要有上限？就是不能讓某個(gè)docker進(jìn)程，把所有cpu資源都給全部霸占了。

這也是cpu隔離的意義所在。

審核編輯：劉清