容器cpu限制失效主因是--cpus与--cpu-period/--cpu-quota冲突,后者会覆盖前者;内存oom无日志因未设--memory-reservation;/dev/shm默认64mb易致共享内存溢出;--blkio-weight在cgroup v1下常被静默忽略。
容器启动时 CPU 限制没生效?检查 --cpus 和 --cpu-period/--cpu-quota 的冲突
Linux 内核的 CPU 节流机制有两套参数:高层的 --cpus(Docker 1.13+ 推荐)和底层的 --cpu-period+--cpu-quota。如果同时指定,后者会覆盖前者,但很多人只改了 --cpus 却忘了清理旧配置。
实操建议:
- 优先统一用
--cpus=2.5,它自动换算成--cpu-period=100000+--cpu-quota=250000,语义清晰且兼容性好 - 若必须用
--cpu-quota,确保--cpu-period是 1000–1000000 之间整数,且--cpu-quota≥--cpu-period,否则容器直接启动失败报错:invalid argument: quota and period must be set together - 在 Kubernetes 中通过
resources.limits.cpu设置的值,底层仍转为--cpu-quota,所以 K8s 集群节点上/sys/fs/cgroup/cpu/下对应目录里的cpu.cfs_quota_us值可能远大于你预期——这是正常现象,别误判为配置失效
内存 OOM 被杀却没日志?确认 memory.limit_in_bytes 和 memory.soft_limit_in_bytes 的行为差异
Docker 默认不设软限制,只靠 --memory(即 memory.limit_in_bytes)硬限。一旦容器内存触顶,内核 OOM killer 会直接选进程 kill,且默认不输出具体是哪个进程被干掉——因为 cgroup v1 下 memory.failcnt 和 memory.oom_control 不联动日志。
实操建议:
- 加
--memory-reservation=512m(对应memory.soft_limit_in_bytes),给容器留缓冲空间,避免一抖动就触发 OOM - 运行中想查谁被 OOM 杀过:执行
docker inspect <code>容器ID| grep -i oom,看OOMKilled字段;再进容器命名空间查/sys/fs/cgroup/memory/docker/<code>容器ID/memory.oom_control,若oom_kill_disable是 0 且under_oom为 1,说明刚发生过 - 生产环境务必配
--oom-kill-disable=false(默认值),禁用它等于放弃内存保护,不是“更安全”,而是把崩溃权交给内核随机选进程
docker run --shm-size 设太小导致共享内存溢出?重点看应用是否依赖 /dev/shm
很多数据库客户端(如 PostgreSQL 的 libpq)、科学计算库(NumPy 多进程)、甚至 Chrome Headless 模式都默认用 /dev/shm 做进程间通信。Docker 默认只给 64MB,远低于宿主机的 2GB,一跑批量数据或并发连接就卡死或报错:Function not implemented 或 No space left on device。
Destoon B2B网站管理系统是一套完善的B2B(电子商务)行业门户解决方案。系统基于PHP+MySQL开发,采用B/S架构,模板与程序分离,源码开放。模型化的开发思路,可扩展或删除任何功能;创新的缓存技术与数据库设计,可负载千万级别数据容量及访问。 系统特性1、跨平台。支持Linux/Unix/Windows服务器,支持Apache/IIS/Zeus等2、跨浏览器。基于最新Web标准构建,在
实操建议:
- 先确认应用是否真用了 shm:进容器执行
df -h /dev/shm,再跑负载时用find /dev/shm -type f | wc -l看文件数突增 - 保守起见,启动时加
--shm-size=2g;若资源紧张,至少设到--shm-size=512m,比默认值高 8 倍 - 注意:该参数对 Windows/Mac 的 Docker Desktop 无效(它们走 Hyper-V 或 gRPC-FUSE 抽象层),此时得改 Desktop 设置里的 “Advanced → Memory” 并重启引擎
磁盘 I/O 变慢,是不是要调 --blkio-weight?先看是不是 aufs/overlay2 的元数据瓶颈
--blkio-weight 在现代内核(≥4.12)+ cgroup v2 下才真正生效,而多数 CentOS 7/RHEL 7 默认还是 cgroup v1 + overlay2,此时该参数被静默忽略,docker info 里也看不出异常。
实操建议:
- 先查实际 I/O 压力来源:用
docker stats --no-stream <code>容器ID看BLOCK I/O列,再对比宿主机iostat -x 1的%util和await——如果宿主机磁盘已满载,调容器参数没用 - 若确定是容器间争抢,优先用
--device-read-bps/--device-write-bps限速块设备,它在 v1/v2 下都稳定生效 - OverlayFS 的
lowerdir如果在机械盘上,大量小文件读写必然拖慢,这时换 SSD 或改用zfs存储驱动比调权重更治本
复杂点在于:性能问题从来不是单个参数能解决的。cgroup v1 和 v2 的行为差异、存储驱动与内核版本的匹配、甚至容器内应用是否做了 mmap 缓存——这些细节不挖到底,调参只是在碰运气。
