最可行的容器资源监控方式是直接读取cgroup文件或调用Docker API:前者轻量但需root权限及路径适配(v1/v2路径不同),后者稳定免权限但依赖daemon且需正确处理流式响应;报警逻辑须独立于采集周期,并通过Prometheus+Alertmanager实现带标签、抑制与可靠通知。
直接读取 cgroup 文件或调用 Docker API 是最可行的两种方式,前者轻量但需 root 权限和路径适配,后者依赖 daemon 且需网络可达;
报警逻辑必须独立于采集周期,否则容易漏告或重复触发。
/sys/fs/cgroup 获取 CPU 和内存指标Linux 容器资源由 cgroups 管控,Golang 可直接读取对应文件获取原始数据。注意不同内核版本路径差异:cgroup v1 路径形如 /sys/fs/cgroup/memory/docker/,而 cgroup v2(主流新系统)统一挂载在 /sys/fs/cgroup/ 下,容器路径通常是 /sys/fs/cgroup/ 和 /sys/fs/cgroup/。
cpuacct.usage 差值,必须结合系统总 CPU 时间(/proc/stat 中 cpu 行前四字段和)做归一化,否则多核下结果失真memory.current(v2)或 memory.usage_in_bytes(v1),避免误用 memory.limit_in_bytes 为 0(表示无限制)导致除零 panicCAP_SYS_RESOURCE 或 root 运行,否则读取 /sys/fs/cgroup/ 多数子目录会返回 permission denieddocker/client 调用 /containers/{id}/stats 接口这是更稳定、免权限、跨内核版本的方式,适合宿主机部署监控服务。Docker daemon 默认只监听 unix socket(unix:///var/run/docker.sock),Go 客户端需正确配置 transport;若通过 TCP 访问,务必启用 TLS 并校验证书,否则易被中间人劫持。
json.Decoder 边读边解析,不能一次性 io.ReadAll —— 否则连接长期 hang 住且内存泄漏v.CPUStats.CPUUsage.TotalUsage 是纳秒级累计值,需与 v.CPUStats.SystemCPUUsage 差值再除以核数和采样间隔,官方文档有完整公式v.MemoryStats.Usage 是 RSS + cache 总和,若需精确 RSS,得查 v.MemoryStats.Stats["rss"](存在时)prometheus/client_golang 暴露指标并对接 Alertmanager暴露 /metrics 是标准做法,但仅暴露原始值不够——报警依赖的是“可计算的瞬时率”或“带标签的聚合态”。比如 container_cpu_usage_percent 应是 Gauge 类型,而 container_network_receive_bytes_total 必须是 Counter 才能被 rate() 函数处理。
Gauge.Set()
container_id、name、pod(如适用)等 label,否则 Alertmanager 无法按容器维度降噪或路由
for: 2m 和 labels { severity: "warning" },否则瞬时毛刺就会发告警很多团队卡在这一步:指标上了 Prometheus,告警规则也写了,但 Slack 没收到消息。根本原因是 Alertmanager 配置未生效或静默规则覆盖了目标。
/status 页面里,你的告警是否出现在 “Active Alerts” 列表中;如果没出现,说明 Prometheus 根本没推送过去,检查 alerting.alertmanagers 配置项slack_configs 下的 api_url 字段,不是随便 POST 到任意地址——它要求特定 JSON 结构,包括 text、username、channel
inhibit_rules:例如当整个节点宕机时,抑制其上所有容器的 CPU 告警,避免告警风暴cgroup 路径兼容性、Docker API 的流式响应处理、Prometheus label 设计、Alertmanager 的抑制逻辑——这四个点任一出错,监控就从“看得见”退化成“看起来在跑”。实际落地时,建议先用 docker stats 输出对比你的采集值,再逐步接入告警链路。