容器docker的ulimit

Ulimit

在linux里ulimit命令可以对shell生成的进程的资源进行限制。

常用的ulimit限制

• 打开文件句柄数
• core文件大小
• 设置进程能够消耗的虚拟内存
• 设置用户能够打开的进程数目

不太常用的ulimit限制

设置数据段的最大值.单位:kbytes
设置创建文件的最大值.单位:blocks
设置在内存中锁定进程的最大值.单位:kbytes
设置可以使用的常驻内存的最大值.单位:kbytes
设置内核可以同时打开的文件描述符的最大值.单位:n
设置管道缓冲区的最大值.单位:kbytes
设置堆栈的最大值.单位:kbytes
设置CPU使用时间的最大上限.单位:seconds

ulimit设置限制的两条水线

ulimit设置限制的时候会设置两条线soft和hard线，当资源到达了soft线那么只是告警，如果达到了hard线那么内核就强制限制了。

在docker里使用ulimit限制

从上面小节中可以看到linux系统可以通过配置ulimit对很多资源进行限制。在docker内部如何使用ulimt这个工具便利性呢。

在dockerd中为所有容器配置默认的ulimit

• 在/etc/docker/daemon.json里通过

“ulimit”：ulimit-resource=M:N 对所有容器默认某个资源进行限制。

表2-1

上表中M为soft水线，N为hard水线。如果“=”右边只有一个那么同时设置soft水线=hard水线

• 在dockerd启动参数中设置
  这种方式是指通过修改docker.service文件或者直接命令行启动dockerd的方式

--default-ulimit unlimit-resources=M:N

表2-2

表2-2中的M和N和表2-1中的同义

在docker run时为某个容器设置ulimit

除了在dockerd里设置容器的默认ulimit值，还可以为某个容器指定一个的ulimit值。这借助在docker run时带参数

--ulimit ulimit-resources=M:N

表2-3
表2-3中的M和N和表2-1中同意义

docker中能够设置的ulimit参数

常用的docker ulimit设置项

其他docker ulimit设置项

Docker里如何实现ulimit的传递

ulimit参数定义和解析

docker里对ulimit参数的定义在go-unit/ulimit.go里，这里定义了docker可以传递的ulimit参数。

• 参数解析是通过
  opts/ulimit.Set()设置内部结构
  opts/ulimit.GetList()取用
• 参数解析过程
  NewRunCommand（）/NewCreateCommand（） --->opts.AddFlags()—->pflag.FlagSet.Var()解析命令行传递过来的ulimit参数，FlagSet最终调用opts/ulimit.Set()将命令行传递的参数转换为内部格式。
  Container.runCreate（）—>runconfigopts.Parse==opts.Parse()将内部格式转换为container.HostConfig格式。而这个HostConfig格式最终变成一个runc的spec（config.json）里的hostconfig字段rlimit。
  而runc解析configxx.json，完成ulimit配置。