Настройка ядра с помощью привилегированного Docker-контейнера
Я создаю контейнер для настройки параметров ядра для балансировщика нагрузки. Я бы предпочел развернуть эти изменения на хосте в образе, используя один привилегированный контейнер. Например:
docker run --rm --privileged ubuntu:latest sysctl -w net.core.somaxconn=65535
При тестировании изменения вступают в силу, но только для этого контейнера. У меня сложилось впечатление, что при полностью привилегированном контейнере изменения в /proc фактически изменят основную ОС.
$docker run --rm --privileged ubuntu:latest \
sysctl -w net.core.somaxconn=65535
net.core.somaxconn = 65535
$ docker run --rm --privileged ubuntu:latest \
/bin/bash -c "sysctl -a | grep somaxconn"
net.core.somaxconn = 128
Так должны работать привилегированные контейнеры?
Я просто делаю что-то глупое?
Каков наилучший способ внести долгосрочные изменения?
Информация о версии:
Client version: 1.4.1
Client API version: 1.16
Go version (client): go1.3.3
Git commit (client): 5bc2ff8
OS/Arch (client): linux/amd64
Server version: 1.4.1
Server API version: 1.16
Go version (server): go1.3.3
Git commit (server): 5bc2ff8
Пример команды с смонтированным /proc:
$ docker run -v /proc:/proc ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
$ docker run -v /proc:/proc --privileged ubuntu:latest \
/bin/bash -c "sysctl -p /updates/sysctl.conf"
net.ipv4.ip_local_port_range = 2000 65000
$ docker run -v /proc:/proc ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
$ docker run -v /proc:/proc --privileged ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
4 ответа
Этот конкретный параметр находится под влиянием сетевого пространства имен, в котором работает Docker.
Как общее правило /proc
изменяет настройки, которые подходят для всей системы, технически говоря, как вы изменяете настройки в /proc/net
который возвращает результаты для каждого пространства имен сети.
Обратите внимание, что /proc/net
на самом деле символическая ссылка на /proc/self/net
поскольку он действительно отражает настройки пространства имен, в котором вы выполняете работу.
Docker 1.12+ имеет встроенную поддержку для настройки значений sysctl внутри контейнеров. Вот выдержка из документации:
Настройте параметры ядра пространства имен (sysctls) во время выполнения
--Sysctl устанавливает параметры ядра в пространстве имен (sysctls) в контейнере. Например, чтобы включить переадресацию IP в пространстве имен сети контейнеров, выполните следующую команду:
docker run --sysctl net.ipv4.ip_forward=1 someimage
Используя ваш пример, правильный способ поднять net.core.somaxconn
было бы:
docker run ... --sysctl net.core.somaxconn=65535 ...
Привилегированный контейнер все еще использует свое собственное пространство имен процесса для /proc
, Что вы можете сделать, это установить настоящий /proc
внутри контейнера:
docker run --rm --privileged -v /proc:/host-proc ubuntu:latest \
'echo 65535 > /host-proc/sys/net/core/somaxconn'
Это работает для меня с Docker 1.5.0:
docker run --privileged --net=host --rm ubuntu:latest /bin/sh -c \
'echo 65535 > /proc/sys/net/core/somaxconn'