Nuwax

Appearance

Docker 多容器性能优化完整指南

系统环境: Linux 6.8.0-90-generic | 16核 / 125GB内存 / 127GB交换 优化时间: 2026-01-13 问题场景: 启动 5-6 个 Docker 容器后服务异常

问题现象

主要症状

  1. 容器启动阈值问题: 启动 5-6 个容器后,后续容器服务开始异常
  2. 网络请求缓慢: Agent 响应变慢,网络请求超时
  3. 进程异常退出: 进程被 SIGKILL 信号强制终止
  4. 文件描述符错误: 偶尔出现 "too many open files" 错误
  5. 网络连接异常: 出现 "ConnectionClosed" 和 "Prematurely closed" 错误

第一性原理分析

什么是第一性原理?

第一性原理(First Principles)是指从最基本的真理出发,通过逻辑推理得出结论,而不是基于类比或经验。

Linux 系统资源的第一性原理

计算机系统的核心资源是有限的:

┌─────────────────────────────────────────────────────────────┐
│                    计算机资源                               │
├─────────────┬─────────────┬─────────────┬─────────────────┤
│    CPU      │    内存     │   网络      │   文件/IO       │
│  计算能力   │  存储空间   │  带宽/连接  │  描述符/句柄    │
└─────────────┴─────────────┴─────────────┴─────────────────┘

每个容器都会从这些资源池中索取资源:

容器1 ──┐
容器2 ──┤
容器3 ──┼──→ 共享系统资源池
容器4 ──┤
容器5 ──┘

资源限制的物理机制

Linux 内核通过数据结构来管理这些资源,每个数据结构都有固定的容量上限

数据结构            容量上限        超限后果
────────────────────────────────────────────────
ARP 表             1024 条目      网络包丢弃,请求变慢
文件描述符表        进程限制        open files 错误
Inotify 实例表      128 个          文件监控失败
TCP 连接表          哈希表大小      连接建立失败
内存承诺值          CommitLimit     进程被 SIGKILL

问题根因详解

问题 1: ARP 邻居表溢出 (网络慢)

现象 

容器增多 → 网络请求变慢 → 超时错误

第一性原理

网络通信需要知道对方的 MAC 地址。ARP (Address Resolution Protocol) 将 IP 地址映射为 MAC 地址。

每个网络对等体(peer)都需要一个 ARP 条目:

容器A (198.18.1.10) ←──────────→ 容器B (198.18.1.11)
     [IP→MAC 映射]                    [IP→MAC 映射]
     需要一个ARP条目                   需要一个ARP条目

系统默认配置

bash
net.ipv4.neigh.default.gc_thresh1 = 128   # 开始清理的阈值
net.ipv4.neigh.default.gc_thresh2 = 512   # 加速清理的阈值
net.ipv4.neigh.default.gc_thresh3 = 1024  # 硬性上限 ⚠️

为什么 1024 不够? 

每个容器的 ARP 需求:
- 与宿主机通信: 1 条目
- 与其他容器通信: N 条目 (N = 容器数量)
- 与外部服务通信: M 条目

总条目 = 容器数 × (1 + 内部容器数 + 外部服务数)

5-6 个容器场景:
- 容器间两两通信: 6 × 5 = 30 条目
- 与宿主机: 6 条目
- 与外部服务 (DNS, 网关等): 6 × 3 = 18 条目
- 总计: 约 50+ 条目

但容器内的每个进程、每个网络接口都可能产生 ARP 条目,
实际数量会远超预期,很容易超过 1024 的上限。

超限后果 

ARP 表已满 → 无法存储新的 IP→MAC 映射
           → 网络包无法发送
           → 请求变慢或失败
           → 触发 ARP 垃圾回收 (CPU 消耗)

问题 2: 内存承诺策略 (SIGKILL)

现象 

Agent 运行中 → 突然退出 → 日志显示 SIGKILL

第一性原理

程序的内存申请 ≠ 实际物理内存使用。

Linux 使用 Overcommit 机制:程序申请内存时,内核只是"承诺"给内存,但不会立即分配物理内存。

malloc(1GB) → 内核: "好的,我记下了" (承诺)
实际物理内存分配: 只有当程序真正写入数据时才发生

默认策略的陷阱

bash
vm.overcommit_memory = 0  # 启发式策略

overcommit_memory = 0 时,内核用以下公式计算上限:

CommitLimit = 物理内存 + 50% × Swap空间

你的系统:
CommitLimit = 125GB + 50% × 127GB = 188GB

为什么会 SIGKILL? 

运行时状态:
已承诺内存 (Committed_AS) = 147GB (73% 上限)
承诺上限 (CommitLimit)     = 188GB

多容器场景:
- 每个容器启动时申请大量内存 (即使不立即使用)
- 承诺值不断累加
- 超过 CommitLimit → 新的 malloc() 失败
- OOM Killer 被触发 → 随机选择进程 SIGKILL

为什么选择 Agent 进程?

OOM Killer 的选择策略:

  1. 优先选择最近创建的进程
  2. 优先选择内存占用高的进程
  3. 作为活跃的 Agent,经常符合这些条件

问题 3: TCP 缓冲区太小 (网络吞吐受限)

现象 

Agent 请求 → 响应慢 → 大量并发时更严重

第一性原理

网络传输是分批进行的,每批数据受限于缓冲区大小:

发送方                    网络                    接收方
  │                         │                         │
  ├─[数据块1]──→  缓冲区  ───→  网络传输  ───→  缓冲区  ──┤
  │                         │                         │
  ├─[数据块2]──→  (等待)   ───→     ...      ───→  (等待)  ──┤
  │                         │                         │

默认配置

bash
net.core.rmem_max = 212992    # ~208 KB
net.core.wmem_max = 212992    # ~208 KB

为什么 208 KB 不够? 

网络吞吐 = 缓冲区大小 / 往返时间 (RTT)

假设 RTT = 50ms (跨区域常见值):

吞吐量 = 208KB / 0.05s = 4.16 MB/s

而现代网络通常是 100Mbps - 1Gbps:
100Mbps  = 12.5 MB/s  (缺 3倍)
1Gbps    = 125 MB/s  (缺 30倍!)

对于 Agent 场景:

  • API 请求响应可能很大 (几 MB)
  • 小缓冲区意味着更多次传输
  • 每次传输都有 RTT 延迟
  • 总延迟 = 传输次数 × RTT

问题 4: Inotify 限制 (文件监控失败)

第一性原理

Inotify 是 Linux 的文件事件监控机制,被大量应用使用:

  • 热重载 (Hot Reload)
  • 文件同步
  • 日志监控
  • IDE 文件监听

默认配置

bash
fs.inotify.max_user_instances = 128   # 每用户最多实例数
fs.inotify.max_user_watches = 65536   # 每个实例最多监控数

为什么不够? 

每个容器可能:
- 启动多个使用 inotify 的进程
- 监控多个目录
- 每个目录下的文件都占用 watch 数

多容器场景:
容器1: 10 个实例 × 1000 watches = 10,000
容器2: 10 个实例 × 1000 watches = 10,000
容器3: 10 个实例 × 1000 watches = 10,000
...
容器6: 超过 128 实例限制 → 监控失败

解决方案

配置文件总览

配置文件解决问题优先级
/etc/sysctl.d/99-container-tuning.confARP、Inotify、端口
/etc/sysctl.d/99-memory-overcommit.confSIGKILL
/etc/sysctl.d/99-tcp-tuning.conf网络吞吐

配置 1: 网络基础参数

文件: /etc/sysctl.d/99-container-tuning.conf

conf
# ARP 邻居表 - 解决网络慢问题
net.ipv4.neigh.default.gc_thresh1 = 4096
net.ipv4.neigh.default.gc_thresh2 = 8192
net.ipv4.neigh.default.gc_thresh3 = 16384

# Inotify - 支持更多文件监控
fs.inotify.max_user_instances = 1024
fs.inotify.max_user_watches = 524288

# 本地端口范围
net.ipv4.ip_local_port_range = 1024 65535

# 连接追踪
net.netfilter.nf_conntrack_max = 1048576

效果对比:

参数默认值优化后提升
ARP 上限1,02416,38416倍
Inotify 实例1281,0248倍
可用端口~28,000~64,0002倍

配置 2: 内存策略

文件: /etc/sysctl.d/99-memory-overcommit.conf

conf
# 允许内存过度分配
vm.overcommit_memory = 1

# 更积极使用 swap
vm.swappiness = 30

# 脏页回写
vm.dirty_ratio = 15
vm.dirty_background_ratio = 5

原理说明:

vm.overcommit_memory:
  0 = 启发式 (公式计算上限,超限则拒绝)
  1 = 始终允许 (容器环境推荐)
  2 = 严格限制

容器环境选择 1 的原因:
1. 容器申请内存但不一定使用
2. 有 127GB swap 作为安全网
3. 避免 OOM killer 随机杀进程

配置 3: TCP 优化

文件: /etc/sysctl.d/99-tcp-tuning.conf

conf
# TCP 缓冲区
net.core.rmem_max = 134217728              # 128 MB
net.core.wmem_max = 134217728              # 128 MB
net.ipv4.tcp_rmem = 4096 131072 67108864   # min, default, max
net.ipv4.tcp_wmem = 4096 65536 67108864    # min, default, max

# TCP 性能
net.ipv4.tcp_slow_start_after_idle = 0
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_mtu_probing = 1

效果对比:

参数默认值优化后提升
接收缓冲区208 KB128 MB600倍
发送缓冲区208 KB128 MB600倍

配置验证

验证脚本

bash
#!/bin/bash
echo "=== 网络基础配置 ==="
sysctl net.ipv4.neigh.default.gc_thresh3
sysctl fs.inotify.max_user_instances
sysctl net.ipv4.ip_local_port_range

echo -e "\n=== 内存配置 ==="
sysctl vm.overcommit_memory
sysctl vm.swappiness

echo -e "\n=== TCP 配置 ==="
sysctl net.core.rmem_max
sysctl net.core.wmem_max
sysctl net.ipv4.tcp_rmem
sysctl net.ipv4.tcp_wmem

echo -e "\n=== 当前状态 ==="
cat /proc/meminfo | grep -E "Committed_AS|CommitLimit"
ss -s

预期输出 

=== 网络基础配置 ===
net.ipv4.neigh.default.gc_thresh3 = 16384
fs.inotify.max_user_instances = 1024
net.ipv4.ip_local_port_range = 1024 - 65535

=== 内存配置 ===
vm.overcommit_memory = 1
vm.swappiness = 30

=== TCP 配置 ===
net.core.rmem_max = 134217728
net.core.wmem_max = 134217728
net.ipv4.tcp_rmem = 4096 131072 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864

=== 当前状态 ===
Committed_AS:   147730364 kB
CommitLimit:    200124816 kB

故障排查

检查 ARP 邻居表

bash
# 检查是否有溢出
dmesg | grep -i "neighbor table overflow"

# 查看当前 ARP 条目数
cat /proc/net/arp | wc -l

检查 OOM 事件

bash
# 查看是否有进程被 OOM killer 杀死
dmesg -T | grep -i "killed process"
sudo journalctl -k | grep -i "oom"

检查网络连接

bash
# 连接统计
ss -s

# 查看大量 TIME_WAIT
ss -a | grep TIME-WAIT | wc -l

# 检查 conntrack 使用
sysctl net.netfilter.nf_conntrack_count

检查文件描述符

bash
# 全局文件描述符使用
cat /proc/sys/fs/file-nr

# 每个进程的文件描述符
lsof 2>/dev/null | wc -l

回退方法

如果配置导致问题,可以回退:

bash
# 删除所有优化配置
sudo rm -f /etc/sysctl.d/99-container-tuning.conf
sudo rm -f /etc/sysctl.d/99-memory-overcommit.conf
sudo rm -f /etc/sysctl.d/99-tcp-tuning.conf

# 重新加载默认配置
sudo sysctl --system

配置文件位置

文件路径
配置文档/home/computer_deploy/system-tuning-backup.md
网络配置/tmp/99-container-tuning.conf
内存配置/home/computer_deploy/99-memory-overcommit.conf
TCP 配置/home/computer_deploy/99-tcp-tuning.conf
本文档/home/computer_deploy/docker-performance-optimization.md

总结

优化前后对比

指标优化前优化后改善
支持容器数量5-6 个20+ 个4倍
网络请求延迟显著改善
SIGKILL 错误频繁消除解决
TCP 吞吐4 MB/s125+ MB/s30倍

关键原理

  1. 内核数据结构有固定上限 - 容器增多会触发这些上限
  2. 内存承诺 ≠ 实际使用 - Overcommit 策略需要适配容器场景
  3. 网络吞吐受缓冲区限制 - 小缓冲区严重限制性能
  4. 第一性原理思维 - 从资源限制的根本原因解决问题

建议

  • 定期监控 Committed_ASCommitLimit 的比例
  • 监控 ARP 表使用情况
  • 使用监控工具 (如 Prometheus + Grafana) 跟踪系统指标
  • 根据实际负载调整参数值