容器docker的ulimit

Ulimit

在linux里ulimit命令可以对shell生成的进程的资源进行限制。

常用的ulimit限制

• 打开文件句柄数
• core文件大小
• 设置进程能够消耗的虚拟内存
• 设置用户能够打开的进程数目

不太常用的ulimit限制

设置数据段的最大值.单位:kbytes
设置创建文件的最大值.单位:blocks
设置在内存中锁定进程的最大值.单位:kbytes
设置可以使用的常驻内存的最大值.单位:kbytes
设置内核可以同时打开的文件描述符的最大值.单位:n
设置管道缓冲区的最大值.单位:kbytes
设置堆栈的最大值.单位:kbytes
设置CPU使用时间的最大上限.单位:seconds

ulimit设置限制的两条水线

ulimit设置限制的时候会设置两条线soft和hard线，当资源到达了soft线那么只是告警，如果达到了hard线那么内核就强制限制了。

在docker里使用ulimit限制

从上面小节中可以看到linux系统可以通过配置ulimit对很多资源进行限制。在docker内部如何使用ulimt这个工具便利性呢。

在dockerd中为所有容器配置默认的ulimit

• 在/etc/docker/daemon.json里通过

“ulimit”：ulimit-resource=M:N 对所有容器默认某个资源进行限制。

表2-1

上表中M为soft水线，N为hard水线。如果“=”右边只有一个那么同时设置soft水线=hard水线

• 在dockerd启动参数中设置
  这种方式是指通过修改docker.service文件或者直接命令行启动dockerd的方式

--default-ulimit unlimit-resources=M:N

表2-2

表2-2中的M和N和表2-1中的同义

在docker run时为某个容器设置ulimit

除了在dockerd里设置容器的默认ulimit值，还可以为某个容器指定一个的ulimit值。这借助在docker run时带参数

--ulimit ulimit-resources=M:N

表2-3
表2-3中的M和N和表2-1中同意义

docker中能够设置的ulimit参数

常用的docker ulimit设置项

参数	意义	例子
nofile	shell进程打开文件数目	docker run --ulimit nofile=20
core	进程生成core文件的尺寸	docker run --ulimit core =-1 //开启进程core
nproc	shell能打开的进程多少	Na
fsize	进程写文件的最大尺寸	na

其他docker ulimit设置项

参数	意义	例子
cpu	ulimit cpu 限制进程能够使用的cpu资源，单位为s。当达到soft线后触发SIGXCPU,默认为杀死进程（可以忽略此信号）。达到hard线后，发送SIGKILL	na
data	ulimit data	na
locks	ulimit locks	na
memlock	ulimit memlock	na
msgqueue	ulimit msgqueue	na
Nice	ulimit nice	na
rss	ulimit rss	na
rtprio	ulimit rtprio	na
rttime	Ulimit rttime	na
Sigpending	ulimit sigpending	na
stack	ulimit stack	na

Docker里如何实现ulimit的传递

ulimit参数定义和解析

docker里对ulimit参数的定义在go-unit/ulimit.go里，这里定义了docker可以传递的ulimit参数。

• 参数解析是通过
  opts/ulimit.Set()设置内部结构
  opts/ulimit.GetList()取用
• 参数解析过程
  NewRunCommand（）/NewCreateCommand（） --->opts.AddFlags()—->pflag.FlagSet.Var()解析命令行传递过来的ulimit参数，FlagSet最终调用opts/ulimit.Set()将命令行传递的参数转换为内部格式。
  Container.runCreate（）—>runconfigopts.Parse==opts.Parse()将内部格式转换为container.HostConfig格式。而这个HostConfig格式最终变成一个runc的spec（config.json）里的hostconfig字段rlimit。
  而runc解析configxx.json，完成ulimit配置。