1：docker資源分配 Cgroup [CPU 記憶體 I/O（單位時間內的吞吐量 單位時間內的讀寫速度）]

為什么要做資源分配 ？

容器----虛擬機 區別
虛擬機在創建的時候已經做了資源分配，（虛擬CPU，虛擬記憶體，虛擬磁盤等）

容器是共享內核資源的，不做Cgroup會存在重大安全隱患（面試時，參照：往年的監控資料情況，進行資源分配）

資源分配

Cgroup資源配置方法

docker通過Cgroup來控制容器是使用的資源配額，包括CPU、記憶體、磁盤三大方面，基本覆寫了常見的資源配額和使用量控制
Control Group的縮寫，是Linux內核提供的一種可以限制、記錄、隔離行程組所使用的物理資源（如CPU、記憶體、磁盤IO等）的機制，被LXC、docker等很多專案用于實作行程資源控制，Cgroup子系統，有以下幾大子系統實作：

子系統：

	blkio：設定西限制每個塊設備的輸入輸出控制，例如：磁盤、光碟以及USB等，
	CPU：使用調度程式為cgroup任務提供CPU的訪問，
	cpuacct：產生cgroup任務的CPU資源報告，
	cpuset：如果是多核心的CPU，這個子系統會為cgroup任務分配單獨的CPU和記憶體，
	devices：允許或拒絕cgroup任務對設備的訪問，
	freezer：暫停和恢復cgroup任務，
	memory：設定每個cgroup的記憶體限制以及產生記憶體資源報告，
	net_cls：標記每個網路包以提供cgroup方便使用，
	ns：命名子空間系統
	perf_event：增加了對每個group的監測跟蹤的能力，可以監測驗于某個特定的group的所有執行緒以及運行在特定CPU上的執行緒，

利用stress壓力測驗工具來測驗CPU和記憶體使用狀況

清空防火墻規則、關閉核心防護
[root@localhost ~]# systemctl restart docker
[root@localhost ~]# iptables -F
[root@localhost ~]# setenforce 0

使用Dockerfile來創建一個基于Centos的stress工具鏡像
[root@localhost ~]# mkdir /opt/stress
[root@localhost ~]# vim /opt/stress/Dockerfile
FROM centos:7
MAINTAINER 
RUN yum install -y wget
RUN wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
RUN yum install -y stress

[root@client ~]# cd /opt/stress
[root@client stress]# docker build -t centos:stress .

[root@client stress]# docker images
REPOSITORY             TAG                 IMAGE ID            CREATED             SIZE
centos                 stress              5a77e23ca0d6        12 seconds ago      426MB
···
使用如下命令創建容器，命令中的--cpu-shares引數值不能保證可以獲得1個vcpu或者多個GHz的CPU資源，他僅是一個彈性的加權值，
docker run -itd --cpu-shares 100 centos:stress

說明：默認情況下，每個Docker容器的CPU份額都是1024，單獨一個容器的份額是沒有意義的，只有在同時運行多個容器時，容器的CPU加權的效果才能體現，
Cgroup只在容器分配的資源緊缺時，即在需要使用資源進行限制時，才會生效，因此無法單純根據某個容器的CPU份額來確定有多少CPU資源，CPU資源分配，結果取決于同時運行的其他容器的CPU分配和容器中行程運行情況，
可以通過cpu share 設定容器使用CPU的優先級，比如啟動了兩個容器及運行查看CPU使用百分比，
[root@client stress]# docker run -itd --cpu-shares 100 centos:stress//容器產生10個子函式行程

df937d7ab7728a1306833a19444c5d7a7ed1e108859300bc8319f8fd2597b238

[root@client stress]# docker run -itd --name cpu512 --cpu-shares 512 centos:stress stress -c 10
6fa79759df08eba01fc1d23b59c7801409df198e0bff4fa9a84f550734e2b3e8
[root@client stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
6fa79759df08        centos:stress       "stress -c 10"      2 seconds ago       Up 1 second                             cpu512
[root@client stress]# docker exec -it 6fa79759df08 bash  //進入容器使用top命令查看CPU使用情況
[root@6fa79759df08 /]# top

//再開啟一個容器做比較[root@client ~]# docker run -itd --name cpu1024 --cpu-shares 1024 centos:stress stress -c 10
1b23b00909e82576293d325937e28f4386ffa24fa39127ff41d54508470d6766
[root@client ~]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
1b23b00909e8        centos:stress       "stress -c 10"      2 seconds ago       Up 1 second                             cpu1024
6fa79759df08        centos:stress       "stress -c 10"      2 minutes ago       Up 2 minutes                            cpu512

[root@client ~]# docker exec -it 1b23b00909e8 bash

//進入容器使用top命令對比兩個容器的%CPU比例是1:2

CPU周期限制

Docker提供了 --cpu-period --cpu-quota 兩個引數控制容器可以分配的CPU時鐘周期，
–cpu-period是用來指定容器對CPU的使用要在多長時間內做一次重新分配
–cpu-quota是用來指定在這個周期內，最多可以有多長時間來跑這個容器，（與–cpu-period不同的是，這種配置時指定一個絕對值，容器多CPU資源的使用絕對不會超過配置的值）
cpu-perlod和cpu-quota的單位為微秒(us) . epu-perlod 的最小值為1000微秒，最大值為1秒(10^6μs) ，默認值為0.1秒(100000 μ5)
cpu-quota的值默認為-1，表示不做控制，cpu-period 和cpu-quota引數一般聯合使用，
例如:容器行程需要每1移使用單個CPU的0.2秒時間，可以將cqpu-period設定為100000 (即1秒)，cpu-quota設定為20000 (0.2秒) ，
當然，在多核情況下，如果允許容器行程完全占用兩個CPU,則可以將cpu-period設定為100000 (即0.1秒)，cpu-quota設定為200000 (0.2

[root@client stress]# docker run -tid --cpu-period 100000 --cpu-quota 200000 centos:stress
5fa301ae0a422ba23fa0cdeeb88760f1b53376479b344fff8549a405e2aadb30
[root@client stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS                        PORTS               NAMES
5fa301ae0a42        centos:stress       "/bin/bash"         2 seconds ago       Up Less than a second                             objective_spence

[root@client stress]# docker exec -it 5fa301ae0a42 bash

[root@5fa301ae0a42 /]# cat /sys/fs/cgroup/cpu/cpu.cfs_period_us
100000
[root@5fa301ae0a42 /]# cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us
200000

CPU Core控制

對于多核CPU的服務器，docker還可以控制容器運行使用哪些CPU內核，即使用–cpu-cpus引數
這對具有多CPU的服務器尤其有用，可以對需要高性能計算的容器進行性能最優的配置

執行以下命令需要宿主機為雙核，表示創建的容器只能用0、1兩個內核（CPU0、CPU1），最終生成的cgroup的CPU內核配置如下：[root@localhost stress]# docker run -tid --name cpu1 --cpuset-cpus 0-1 centos:stress
1694023f3400f7366137d2bde7b13b20a457f1a68cb14301be034e3b99fd9da0

[root@localhost stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
1694023f3400        centos:stress       "/bin/bash"         25 seconds ago      Up 24 seconds                           cpu1

[root@localhost stress]# docker exec -it 1694023f3400 bash

[root@1694023f3400 /]# cat /sys/fs/cgroup/cpuset/cpuset.cpus
0-1

[root@localhost stress]# docker exec 1694023f3400 taskset -c -p 1
pid 1's current affinity list: 0,1

通過下面指令可以看到容器中行程與CPU內核的系結關系，達到系結CPU內核的目的
docker exec 1694023f3400 taskset -c -p 1  //容器內部第一個行程號皮帶為1被系結到制定CPU上運行

CPU配額控制引數的混合使用

通過cpuset-cpus引數指定容器A使用CPU內核0,容器B只是用CPU內核1.
在主機上只有這兩個容器使用對應CPU內核的情況，它們各自占用全部的內核資源，cpu-shares 沒有明顯效果，
cpuset-cpus、cpuset-mems 引數只在多核、多記憶體節點上的服務器上有效，并且必須與實際的物理配置匹配，否則也無法達到資源控制的目的，
在系統具有多個CPU內核的情況下，需要通過cpuset-cpus引數為設定容器CPU內核才能方便地進行測驗，

//宿主系統修改為4核心cpu[root@localhost stress]# docker run -tid --name cpu3 --cpuset-cpus 1 --cpu-shares 512 centos:stress stress -c 1
3b139ebde227f86825ca9031702c1356ac18214e896be03966139500a18f5e74

[root@localhost stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
3b139ebde227        centos:stress       "stress -c 1"       36 seconds ago      Up 34 seconds                           cpu3

[root@localhost stress]# docker exec -it 3b139ebde227 bash
[root@3b139ebde227 /]# exit 
exit

[root@localhost stress]# top  //按1查看每個核心的占用

top - 14:49:06 up  1:53,  4 users,  load average: 0.97, 0.51, 0.24
Tasks: 244 total,   2 running, 242 sleeping,   0 stopped,   0 zombie%Cpu0  :  0.0 us,  0.0 sy,  0.0 ni,100.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu1  :100.0 us,  0.0 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu2  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu3  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 stKiB Mem :  3861512 total,   571580 free,   935092 used,  2354840 buff/cache
KiB Swap:  4063228 total,  4063228 free,        0 used.  2466740 avail Mem 
   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                        
 82110 root      20   0    7312    100      0 R 100.0  0.0   3:28.55 stress            

[root@localhost stress]# docker run -tid --name cpu4 --cpuset-cpus 3 --cpu-shares 1024 centos:stress stress -c 1
04cce252457166347af6cb6d9110e6afe531116e783536885e306400fdf7c575

[root@localhost stress]# docker ps -a 
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
04cce2524571        centos:stress       "stress -c 1"       36 seconds ago      Up 35 seconds                           cpu4

[root@localhost stress]# docker exec -it 04cce2524571 bash

[root@localhost stress]# docker exec -it 04cce2524571 bash
[root@04cce2524571 /]# exit
exit

top - 14:58:16 up  2:02,  4 users,  load average: 2.00, 1.61, 0.89
Tasks: 246 total,   3 running, 243 sleeping,   0 stopped,   0 zombie
%Cpu0  :  0.0 us,  0.3 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu1  :100.0 us,  0.0 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu2  :  0.0 us,  0.0 sy,  0.0 ni,100.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
%Cpu3  :100.0 us,  0.0 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  3861512 total,   560632 free,   944092 used,  2356788 buff/cache
KiB Swap:  4063228 total,  4063228 free,        0 used.  2456172 avail Mem 

   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                        
 83053 root      20   0    7312    100      0 R 100.0  0.0   5:48.98 stress                                                         
 82110 root      20   0    7312    100      0 R  99.7  0.0  12:38.53 stress      

?

總結：上面的centos:stress鏡像安裝了stress工具，用來測驗CPU和記憶體的負載，通過在容器上分別執行stress -c 1命令，將會給系統一個隨機負載，產生一個行程，這個行程反復不停的計算由rand()產生亂數的平方根，直到資源耗盡，
觀察到宿主機上的CPU使用率，第三個內核的使用率接近100%，并且一批行程的 PU使用率明顯存在2:1的使用比例的對比，

記憶體限額

與作業系統類似，容器可使用的記憶體包括兩部分:物理記憶體和Swap.
Docker通過下面兩組引數來控制容器記憶體的使用量，
-m或-memory:設定記憶體的使用限額，例如100M、1024M，
–memory-swap:設定記憶體+ swap的使用限額，

執行如下命令允許該容器最多使用200M的記憶體和300M的swap，

[root@localhost stress]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 280M
--vm 1:啟動1個記憶體作業執行緒，
--vm-bytes 280M:每個執行緒分配280M記憶體，
默認情況下，容器可以使用主機上的所有空閑記憶體，
與CPU的cgroups配置類似，Docker 會自動為容器在目錄/sys/fs/cgroup/memory/docker/<容器的完整長ID>中創建相應cgroup組態檔
如果讓作業執行緒分配的記憶體超過300M，分配的記憶體超過限額，stress 執行緒報錯，容器退出，

[root@localhost ~]# docker run -it -m 200M --memory-swap=300M progrium/stress --vm 1 --vm-bytes 310M
stress: info: [1] dispatching hogs: 0 cpu, 0 io, 1 vm, 0 hdd
stress: dbug: [1] using backoff sleep of 3000us
stress: dbug: [1] --> hogvm worker 1 [6] forked
stress: dbug: [6] allocating 325058560 bytes ...
stress: dbug: [6] touching bytes in strides of 4096 bytes ...
stress: FAIL: [1] (416) <-- worker 6 got signal 9
stress: WARN: [1] (418) now reaping child worker processes
stress: FAIL: [1] (422) kill error: No such process
stress: FAIL: [1] (452) failed run completed in 0s

Block IO的限制

默認情況下，所有容器能平等地讀寫磁盤，可以通過設定–block-weight引數來改變容器block IO的優先級，
–block-weight與–cpu-shares類似，設定的是相對權重值，默認為500，

下面的例子中，容器A讀寫磁盤的帶寬是容器B的兩倍

[root@localhost stress]# docker run -it --name container_A --blkio-weight 600 centos:stress 
[root@3b218714f509 /]# cat /sys/fs/cgroup/blkio/blkio.weight
600

[root@localhost stress]# docker run -it --name container_B --blkio-weight 300 centos:stress 
[root@a49df7e2fceb /]# cat /sys/fs/cgroup/blkio/blkio.weight
300

bps和iops的限制

bps是byte per second,每秒讀寫的資料量，
iops是io per second,每秒10的次數，

可通過以下引數控制容器的bps和iops:
– device read-bps,限制讀某個設備的bps，
– device-write-bps,限制寫某個設備的bps，
– device- read-iops,限制讀某個設備的iops，
– device-write-iops,限制寫某個設備的iops，

下面的示例是限制容器寫/dev/sda的速率為5 MB/s，

[root@83a409738e11 /]# dd if=/dev/zero of=test bs=1M count=1024 oflag=direct  //可以按Ctrl+c中斷查看
^C38+0 records in
38+0 records out
39845888 bytes (40 MB) copied, 7.60984 s, 5.2 MB/s

通過dd命令測驗在容器中寫磁盤的速度，因為容器的檔案系統是在host /dev/sda上的，
在容器中寫檔案相當于對host /dev/sda進行寫操作.另外，oflag=direct指定用direct 10方式寫檔案，
這樣--device-write-bps才能生效，
結果表明限速5MB/s左右，作為對比測驗，如果不限速，結果如下，
[root@localhost ~]# docker run -it centos:stress 
[root@61ee9e12f2ed /]# dd if=/dev/zero of=test bs=1M count=1024 oflag=direct
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.983062 s, 1.1 GB/s

2：安全通信 TLS 生產環境 （實驗環境用SSL）

Docker-TLS加密通訊

TLS
加密演算法：
原理
1.對稱 DES 3DES AES 長度不同 長度越長安全越高，解密速度越慢
2.非對稱 RSA 公鑰：所有人可知（鎖），私鑰（鑰匙）個人身份資訊，不可抵賴，
3.證書：個人資訊，密鑰，有效期
4.ca:證書頒發機構 ca證書

密鑰key—》身份簽名csr—》（服務器/客戶端）（結合ca.pem）證書pem

證書pem發送給客戶端，客戶端驗證就使用證書驗證

為了防止鏈路劫持、會話劫持等問題導致docker通信時被中間人攻擊，c/s端應該通過加密方式通訊

[root@localhost ~]# mkdir /tls
[root@localhost ~]# cd /tls
[root@localhost tls]# hostnamectl set-hostname master
[root@localhost tls]# vim /etc/hosts

127.0.0.1 master

[root@localhost tls]# su
[root@master tls]# ping master
PING master (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.041 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.048 ms
^C
--- master ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.041/0.044/0.048/0.007 ms

//創建ca密鑰
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096  //輸入123123
Generating RSA private key, 4096 bit long modulus
.....................................++
..........................................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

//創建ca證書
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:   //輸入密碼123123
//創建服務器私鑰
[root@master tls]# openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus
............................................................................++
..............................................................................................................................................................++
//簽名私鑰
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用ca證書與私鑰證書簽名，輸入123123
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
//生成客戶端密鑰
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.++
...................................++
e is 65537 (0x10001)
//簽名客戶端
[root@master tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
//創建組態檔
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
//簽名證書，輸入123123，需要（簽名客戶端，ca證書,ca密鑰）
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
//洗掉多余檔案
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr
[root@master tls]# ll
總用量 24
-rw-r--r--. 1 root root 3326 9月  26 16:22 ca-key.pem
-rw-r--r--. 1 root root 1765 9月  26 16:23 ca.pem
-rw-r--r--. 1 root root 1696 9月  26 16:31 cert.pem
-rw-r--r--. 1 root root 3243 9月  26 16:27 key.pem
-rw-r--r--. 1 root root 1647 9月  26 16:23 server-cert.pem
-rw-r--r--. 1 root root 3243 9月  26 16:23 server-key.pem
//配置docker
[root@master tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.
pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

注釋掉原來的，在下面插入

//重啟行程
[root@master tls]# systemctl daemon-reload
//重啟docker服務
[root@master tls]# systemctl restart docker

//將/tls/ca.pem /tls/cert.pem /tls/key.pem三個檔案復制到另一臺主機
[root@master tls]# scp ca.pem root@192.168.20.20:/etc/docker/
The authenticity of host '192.168.20.20 (192.168.20.20)' can't be established.
ECDSA key fingerprint is SHA256:M+6YSK2hm7e8JY4G1qYmT0X1UmIr280vvpa+1rW8IBc.
ECDSA key fingerprint is MD5:bd:01:e2:85:f0:b0:36:8c:49:64:08:30:6c:2d:a4:37.
Are you sure you want to continue connecting (yes/no)? yes
root@192.168.20.20's password: 
ca.pem                                                 100% 1765   633.0KB/s   00:00    
[root@master tls]# scp cert.pem root@192.168.20.20:/etc/docker/
root@192.168.20.20's password: 
cert.pem                                               100% 1696   396.7KB/s   00:00    
[root@master tls]# scp key.pem root@192.168.20.20:/etc/docker/
root@192.168.20.20's password: 
key.pem                                                100% 3243     1.5MB/s   00:00    

//本地驗證
[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false
The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://master:2376/v1.40/version: remote error: tls: bad certificate
[root@master tls]# docker pull nginx

//client上操作
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su
[root@client ~]# vim /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.20.10 master

[root@client ~]# ll /etc/docker/
總用量 20
-rw-r--r--. 1 root root 1765 9月  26 16:47 ca.pem
-rw-r--r--. 1 root root 1696 9月  26 16:47 cert.pem
-rw-r--r--. 1 root root   67 9月  23 22:31 daemon.json
-rw-------. 1 root root  244 9月  23 22:31 key.json
-rw-r--r--. 1 root root 3243 9月  26 16:48 key.pem

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false
key.json
-rw-r--r--. 1 root root 3243 9月  26 16:48 key.pem

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
 Go version:        go1.13.15
 Git commit:        4484c46d9d
 Built:             Wed Sep 16 17:03:45 2020
 OS/Arch:           linux/amd64
 Experimental:      false
The server probably has client authentication (--tlsverify) enabled. Please check your TLS client certification settings: Get https://master:2376/v1.40/version: remote error: tls: bad certificate