容器docker的ulimit

Ulimit

在linux里ulimit命令可以对shell生成的进程的资源进行限制。

常用的ulimit限制

  • 打开文件句柄数
  • core文件大小
  • 设置进程能够消耗的虚拟内存
  • 设置用户能够打开的进程数目

不太常用的ulimit限制

设置数据段的最大值.单位:kbytes

设置创建文件的最大值.单位:blocks

设置在内存中锁定进程的最大值.单位:kbytes

设置可以使用的常驻内存的最大值.单位:kbytes

设置内核可以同时打开的文件描述符的最大值.单位:n

设置管道缓冲区的最大值.单位:kbytes

设置堆栈的最大值.单位:kbytes

设置CPU使用时间的最大上限.单位:seconds

ulimit设置限制的两条水线

ulimit设置限制的时候会设置两条线soft和hard线,当资源到达了soft线那么只是告警,如果达到了hard线那么内核就强制限制了。

在docker里使用ulimit限制

从上面小节中可以看到linux系统可以通过配置ulimit对很多资源进行限制。在docker内部如何使用ulimt这个工具便利性呢。

在dockerd中为所有容器配置默认的ulimit

  • 在/etc/docker/daemon.json里通过

"ulimit":ulimit-resource=M:N 对所有容器默认某个资源进行限制。

表2-1

上表中M为soft水线,N为hard水线。如果"="右边只有一个那么同时设置soft水线=hard水线

  • 在dockerd启动参数中设置
    这种方式是指通过修改docker.service文件或者直接命令行启动dockerd的方式

--default-ulimit unlimit-resources=M:N

表2-2

表2-2中的M和N和表2-1中的同义

在docker run时为某个容器设置ulimit

除了在dockerd里设置容器的默认ulimit值,还可以为某个容器指定一个的ulimit值。这借助在docker run时带参数

--ulimit ulimit-resources=M:N

表2-3

表2-3中的M和N和表2-1中同意义

docker中能够设置的ulimit参数

常用的docker ulimit设置项

参数 意义 例子
nofile shell进程打开文件数目 docker run --ulimit nofile=20
core 进程生成core文件的尺寸 docker run --ulimit core =-1 //开启进程core
nproc shell能打开的进程多少 Na
fsize 进程写文件的最大尺寸 na

其他docker ulimit设置项

参数 意义 例子
cpu ulimit cpu 限制进程能够使用的cpu资源,单位为s。当达到soft线后触发SIGXCPU,默认为杀死进程(可以忽略此信号)。达到hard线后,发送SIGKILL na
data ulimit data na
locks ulimit locks na
memlock ulimit memlock na
msgqueue ulimit msgqueue na
Nice ulimit nice na
rss ulimit rss na
rtprio ulimit rtprio na
rttime Ulimit rttime na
Sigpending ulimit sigpending na
stack ulimit stack na

Docker里如何实现ulimit的传递

ulimit参数定义和解析

docker里对ulimit参数的定义在go-unit/ulimit.go里,这里定义了docker可以传递的ulimit参数。

  • 参数解析是通过
    opts/ulimit.Set()设置内部结构
    opts/ulimit.GetList()取用
  • 参数解析过程
    NewRunCommand()/NewCreateCommand() --->opts.AddFlags()---->pflag.FlagSet.Var()解析命令行传递过来的ulimit参数,FlagSet最终调用opts/ulimit.Set()将命令行传递的参数转换为内部格式。
    Container.runCreate()--->runconfigopts.Parse==opts.Parse()将内部格式转换为container.HostConfig格式。而这个HostConfig格式最终变成一个runc的spec(config.json)里的hostconfig字段rlimit。
    而runc解析configxx.json,完成ulimit配置。
相关推荐
CP-DD1 小时前
Docker 容器化开发 应用
运维·docker·容器
老司机张师傅2 小时前
【微服务实战之Docker容器】第七章-Dockerfile解析
容器·dockerfile·虚悬镜像·docker学习
Code_Artist6 小时前
使用Portainer来管理并编排Docker容器
docker·云原生·容器
Eternal-Student6 小时前
【docker 保存】将Docker镜像保存为一个离线的tar归档文件
运维·docker·容器
码农小丘6 小时前
一篇保姆式centos/ubuntu安装docker
运维·docker·容器
灼烧的疯狂8 小时前
K8S + Jenkins 做CICD
容器·kubernetes·jenkins
wenyue11219 小时前
Revolutionize Your Kubernetes Experience with Easegress: Kubernetes Gateway API
容器·kubernetes·gateway
O&REO13 小时前
单机部署kubernetes环境下Overleaf-基于MicroK8s的Overleaf应用部署指南
云原生·容器·kubernetes
运维小文13 小时前
K8S资源限制之LimitRange
云原生·容器·kubernetes·k8s资源限制
登云时刻13 小时前
Kubernetes集群外连接redis集群和使用redis-shake工具迁移数据(二)
redis·容器·kubernetes