最可行的容器资源监控方式是直接读取cgroup文件或调用Docker API:前者轻量但需root权限及路径适配(v1/v2路径不同),后者稳定免权限但依赖daemon且需正确处理流式响应;报警逻辑须独立于采集周期,并通过Prometheus+Alertmanager实现带标签、抑制与可靠通知。
直接读取 cgroup 文件或调用 Docker API 是最可行的两种方式,前者轻量但需 root 权限和路径适配,后者依赖 daemon 且需网络可达;报警逻辑必须独立于采集周期,否则容易漏告或重复触发。
读取 /sys/fs/cgroup 获取 CPU 和内存指标
Linux 容器资源由 cgroups 管控,Golang 可直接读取对应文件获取原始数据。注意不同内核版本路径差异:cgroup v1 路径形如 /sys/fs/cgroup/memory/docker/,而 cgroup v2(主流新系统)统一挂载在 /sys/fs/cgroup/ 下,容器路径通常是 /sys/fs/cgroup/ 和 /sys/fs/cgroup/。
- CPU 使用率不能只看
cpuacct.usage差值,必须结合系统总 CPU 时间(/proc/stat中cpu行前四字段和)做归一化,否则多核下结果失真 - 内存使用应优先读
memory.current(v2)或memory.usage_in_bytes(v1),避免误用memory.limit_in_bytes为 0(表示无限制)导致除零 panic - 程序需以
CAP_SYS_RESOURCE或 root 运行,否则读取/sys/fs/cgroup/多数子目录会返回 permission denied
用 docker/client 调用 /containers/{id}/stats 接口
这是更稳定、免权限、跨内核版本的方式,适合宿主机部署监控服务。Docker daemon 默认只监听 unix socket(unix:///var/run/docker.sock),Go 客户端需正确配置 transport;若通过 TCP 访问,务必启用 TLS 并校验证书,否则易被中间人劫持。
- 接口返回流式 JSON,需用
json.Decoder边读边解析,不能一次性io.ReadAll—— 否则连接长期 hang 住且内存泄漏 - CPU 使用率计算要小心:
v.CPUStats.CPUUsage.TotalUsage是纳秒级累计值,需与v.CPUStats.SystemCPUUsage差值再除以核数和采样间隔,官方文档有完整公式 - 内存字段
v.MemoryStats.Usage是 RSS + cache 总和,若需精确 RSS,得查v.MemoryStats.Stats["rss"](存在时)
用 prometheus/client_golang 暴露指标并对接 Alertmanager
暴露 /metrics 是标准做法,但仅暴露原始值不够——报警依赖的是“可计算的瞬时率”或“带标签的聚合态”。比如 container_cpu_usage_percent 应是 Gauge 类型,而 container_network_receive_bytes_total 必须是 Counter 才能被 rate() 函数处理。
立即学习“go语言免费学习笔记(深入)”;
- 不要把采集逻辑写在 HTTP handler 里,否则每次抓取都重新读 cgroup,造成抖动;应在后台 goroutine 中定时更新
Gauge.Set() - 每个容器指标必须打上
container_id、name、pod(如适用)等 label,否则 Alertmanager 无法按容器维度降噪或路由 - 告警规则不能只写 “CPU > 80%”,要加
for: 2m和labels { severity: "warning" },否则瞬时毛刺就会发告警
报警触发后如何真正“通知到人”
很多团队卡在这一步:指标上了 Prometheus,告警规则也写了,但 Slack 没收到消息。根本原因是 Alertmanager 配置未生效或静默规则覆盖了目标。
- 先确认 Alertmanager 的
/status页面里,你的告警是否出现在 “Active Alerts” 列表中;如果没出现,说明 Prometheus 根本没推送过去,检查alerting.alertmanagers配置项 - Slack webhook URL 必须用
slack_configs下的api_url字段,不是随便 POST 到任意地址——它要求特定 JSON 结构,包括text、username、channel - 生产环境务必设置
inhibit_rules:例如当整个节点宕机时,抑制其上所有容器的 CPU 告警,避免告警风暴
cgroup 路径兼容性、Docker API 的流式响应处理、Prometheus label 设计、Alertmanager 的抑制逻辑——这四个点任一出错,监控就从“看得见”退化成“看起来在跑”。实际落地时,建议先用 docker stats 输出对比你的采集值,再逐步接入告警链路。
