结论:docker 中的 PHP/Apache 不断创建“文件”,/proc/*/fd/最终导致网站无法使用。
我们正在 docker 中运行一个 PHP 应用程序(php:5.6-apache)。几周前,我们将这个堆栈部署到生产环境中。几天后,客户在访问网站时遇到问题,这是由各种文件(如 javascript、图像等)的随机 403 错误引起的。
据我所知,这是由这个错误引起的
[core:crit] [pid 17] (24)Too many open files: AH00529: /var/www/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/www/' is executable
因此我去检查了 Apache 进程打开了哪些文件。lsof -a -p 15输出:
apache2 15 www-data 35 unknown /proc/15/fd/35 (readlink: Permission denied)
apache2 15 www-data 37 unknown /proc/15/fd/37 (readlink: Permission denied)
apache2 15 www-data 38 unknown /proc/15/fd/38 (readlink: Permission denied)
当访问网站时,fd 数会不断增加,直到最终达到打开文件的限制。
编辑:
原因(readlink: Permission denied)是docker 安全功能,因此所有这些句柄实际上都是打开的 TCP 套接字。
apache2 15 www-data 198u sock 0,8 0t0 794575 protocol: TCP
apache2 15 www-data 200u sock 0,8 0t0 795679 protocol: TCP
apache2 15 www-data 201u sock 0,8 0t0 795681 protocol: TCP
但是 netstat 没有列出任何不寻常的打开连接。netstat -a输出:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.11:42045 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
udp 0 0 127.0.0.11:59658 0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
答案1
事实证明,我们xdebug安装的扩展似乎无法正确关闭其套接字。
socket(AF_INET, SOCK_STREAM, IPPROTO_IP) = 306
20 fcntl(306, F_SETFL, O_RDONLY|O_NONBLOCK) = 0
20 connect(306, {sa_family=AF_INET, sin_port=htons(9000), sin_addr=inet_addr("0.0.0.0")}, 16) = -1 EINPROGRESS (Operation now in progress)
20 select(307, [306], [306], [306], {tv_sec=0, tv_usec=200000}) = 2 (in [306], out [306], left {tv_sec=0, tv_usec=199998})
20 getpeername(306, 0x7ffe1d6453f0, [16]) = -1 ENOTCONN (Transport endpoint is not connected)20