我正在构建一个容器来调整负载均衡器的内核设置。我更愿意使用单个特权容器将这些更改部署到映像中的主机。例如:
docker run --rm --privileged ubuntu:latest sysctl -w net.core.somaxconn=65535
在测试中,更改会生效,但只针对该容器。我的印象是,对于具有完全权限的容器,对 /proc 的更改实际上会更改底层操作系统。
$docker run --rm --privileged ubuntu:latest \
sysctl -w net.core.somaxconn=65535
net.core.somaxconn = 65535
$ docker run --rm --privileged ubuntu:latest \
/bin/bash -c "sysctl -a | grep somaxconn"
net.core.somaxconn = 128
特权容器应该是这样工作的吗?
我是不是在做一些愚蠢的事?
实现持久改变的最佳方法是什么?
版本信息:
Client version: 1.4.1
Client API version: 1.16
Go version (client): go1.3.3
Git commit (client): 5bc2ff8
OS/Arch (client): linux/amd64
Server version: 1.4.1
Server API version: 1.16
Go version (server): go1.3.3
Git commit (server): 5bc2ff8
挂载 /proc 的示例命令:
$ docker run -v /proc:/proc ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
$ docker run -v /proc:/proc --privileged ubuntu:latest \
/bin/bash -c "sysctl -p /updates/sysctl.conf"
net.ipv4.ip_local_port_range = 2000 65000
$ docker run -v /proc:/proc ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
$ docker run -v /proc:/proc --privileged ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
答案1
此特定设置受到docker运行的网络命名空间的影响。
一般来说,/proc确实会改变与系统范围相关的设置,但从技术上讲,您正在改变/proc/net基于每个网络命名空间返回结果的设置。
请注意,这/proc/net实际上是一个符号链接,/proc/self/net因为它确实反映了您正在其中进行工作的命名空间的设置。
答案2
Docker 1.12+ 原生支持在容器内调整 sysctl 值。以下是文档:
在运行时配置命名空间内核参数(sysctls)
--sysctl 在容器中设置命名空间内核参数 (sysctls)。例如,要在容器网络命名空间中打开 IP 转发,请运行以下命令:
docker run --sysctl net.ipv4.ip_forward=1 someimage
按照你的例子,正确的加注方式net.core.somaxconn是:
docker run ... --sysctl net.core.somaxconn=65535 ...
答案3
特权容器仍然使用自己的进程命名空间。您可以做的是在容器内/proc挂载真实进程:/proc
docker run --rm --privileged -v /proc:/host-proc ubuntu:latest \
'echo 65535 > /host-proc/sys/net/core/somaxconn'
答案4
这对我来说适用于 Docker 1.5.0:
docker run --privileged --net=host --rm ubuntu:latest /bin/sh -c \
'echo 65535 > /proc/sys/net/core/somaxconn'