解读

国内中大型互联网、金融、运营商的离线/在线混部集群普遍采用 2~4 NUMA Node 的物理机，Docker 作为混部底座必须保证高负载容器的内存就近访问，否则跨 Node 访存带来的 30%~50% 延迟抖动会直接把 P99 响应时间打爆。面试时，面试官想确认你是否能把“容器感知 NUMA”落到 Docker 可落地的配置、调度、观测三板斧，而不是背概念。

知识点

1. NUMA 拓扑获取：lscpu、numactl --hardware、/sys/devices/system/node
2. 内存绑定策略：--membind、--cpunodebind、--preferred
3. Docker 原生开关：--cpuset-cpus、--cpuset-mems、--memory、--memory-reservation
4. 内核级管控：cgroup v1 cpuset.mems / memory.numa_stat，cgroup v2 memory.numa.*
5. 调度层联动：Kubernetes 的 Topology Manager、kubelet 的 --topology-manager-policy=single-numa-node
6. 性能观测：perf stat -e node-load-misses、numastat -p <pid>、/proc/<pid>/numa_maps
7. 混部安全：避免绑核过死导致碎片，需结合潮汐调度与动态绑核

答案

“我通常分三步把 NUMA 延迟锁在单 Node 内：
第一步，镜像构建阶段就植入感知脚本，ENTRYPOINT 里先判断 /sys/devices/system/node/online，把可用 Node 列表打到日志，方便排障。
第二步，容器启动时通过 Docker run 显式绑定：
docker run -d --name nginx \
--cpuset-cpus="0-15" \
--cpuset-mems="0" \
--memory="32g" \
--memory-reservation="32g" \
nginx:alpine
这样 cpus 和 mems 都锁在 Node0，彻底消除跨 Node 访存。
第三步，运行时巡检，用 numastat -p docker inspect -f {{.State.Pid}} nginx 看 numa_hit 与 numa_miss 比例，若 numa_miss>5% 立即告警，触发重新调度。
如果宿主机启用 cgroup v2，我会写 systemd 的 slice 文件：
[Slice]
AllowedCPUs=0-15
AllowedMemoryNodes=0
把容器统一归到该 slice，宿主机重启策略不变，保证长期一致。
对于多实例混布场景，我用动态绑核脚本 nightly 根据节点负载重排 cpuset，既避免碎片，又把延迟敏感型容器压到单 Node，CPU 利用率提升 12% 的同时 P99 延迟下降 18%，这个数值在去年的双十一大促已经验证。”

拓展思考

1. 如果业务容器内存需求超过单 Node 容量，可采用 --cpuset-mems="0-1" 结合 --memory-policy=interleave，让内存平均散布在多个 Node，虽牺牲一点延迟，但避免 OOM；此时需用 perf c2c 分析伪共享，防止跨 Node cacheline 弹跳。
2. 在 Kubernetes 环境，可把 Docker 的 --cpuset-mems 配置下沉到 kubelet，通过 Topology Manager 的 single-numa-node 策略统一收口，避免运维人工 docker run 出错。
3. 未来升级到 DDR5 与 CXL 内存扩展后，NUMA 距离层级会更复杂，Docker 需对接 ACPI HMAT 表，用 docker run --device=/dev/hmat 把拓扑信息注入容器，提前布局才能继续做到“容器级 NUMA 亲和”。