Buduję kontener, aby dostroić ustawienia jądra dla modułu równoważenia obciążenia. Wolę wdrożyć te zmiany na hoście na obrazie przy użyciu jednego uprzywilejowanego kontenera. Na przykład:
docker run --rm --privileged ubuntu:latest sysctl -w net.core.somaxconn=65535
Podczas testowania zmiany obowiązują, ale tylko dla tego kontenera. Miałem wrażenie, że przy w pełni uprzywilejowanym kontenerze zmiany w / proc zmieniłyby podstawowy system operacyjny.
$docker run --rm --privileged ubuntu:latest \
sysctl -w net.core.somaxconn=65535
net.core.somaxconn = 65535
$ docker run --rm --privileged ubuntu:latest \
/bin/bash -c "sysctl -a | grep somaxconn"
net.core.somaxconn = 128
Czy tak właśnie powinny działać uprzywilejowane kontenery?
Czy robię coś głupiego?
Jaki jest najlepszy sposób na wprowadzenie trwałych zmian?
Informacje o wersji:
Client version: 1.4.1
Client API version: 1.16
Go version (client): go1.3.3
Git commit (client): 5bc2ff8
OS/Arch (client): linux/amd64
Server version: 1.4.1
Server API version: 1.16
Go version (server): go1.3.3
Git commit (server): 5bc2ff8
Przykładowe polecenie z zamontowanym / proc:
$ docker run -v /proc:/proc ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
$ docker run -v /proc:/proc --privileged ubuntu:latest \
/bin/bash -c "sysctl -p /updates/sysctl.conf"
net.ipv4.ip_local_port_range = 2000 65000
$ docker run -v /proc:/proc ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
$ docker run -v /proc:/proc --privileged ubuntu:latest \
/bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768 61000
Odpowiedzi:
To szczególne ustawienie podlega wpływowi przestrzeni nazw sieci, w której działa doker.
Zasadniczo
/proc
zmienia się ustawienia, które są odpowiednie dla całego systemu, technicznie rzecz biorąc, jednak zmienia się ustawienia, w/proc/net
których wyniki są zwracane dla przestrzeni nazw dla poszczególnych sieci.Zauważ, że
/proc/net
tak naprawdę jest dowiązaniem symbolicznym,/proc/self/net
ponieważ tak naprawdę odzwierciedla ustawienia przestrzeni nazw, w której pracujesz.źródło
Docker 1.12+ ma natywną obsługę poprawiania wartości sysctl wewnątrz kontenerów. Oto fragment dokumentacji :
Korzystając z Twojego przykładu, poprawnym sposobem na podbicie
net.core.somaxconn
byłoby:źródło
Uprzywilejowany kontener nadal używa własnej przestrzeni nazw procesu
/proc
. Co możesz zrobić, to zamontować prawdziwe/proc
wnętrze kontenera:źródło
Działa to dla mnie z Dockerem 1.5.0:
źródło