Я создаю контейнер для настройки параметров ядра для балансировщика нагрузки. Я бы предпочел развернуть эти изменения на хосте в образе, используя один привилегированный контейнер. Например:
docker run --rm --privileged ubuntu:latest sysctl -w net.core.somaxconn=65535
При тестировании изменения вступают в силу, но только для этого контейнера. У меня сложилось впечатление, что при использовании полностью привилегированного контейнера изменения в /proc фактически изменят базовую ОС.
$docker run --rm --privileged ubuntu:latest \ sysctl -w net.core.somaxconn=65535net.core.somaxconn = 65535$ docker run --rm --privileged ubuntu:latest \ /bin/bash -c "sysctl -a | grep somaxconn"net.core.somaxconn = 128
Так ли должны работать привилегированные контейнеры?
Я просто делаю что-то глупое?
Каков наилучший способ добиться долговременных изменений?
Информация о версии:
Client version: 1.4.1Client API version: 1.16Go version (client): go1.3.3Git commit (client): 5bc2ff8OS/Arch (client): linux/amd64Server version: 1.4.1Server API version: 1.16Go version (server): go1.3.3Git commit (server): 5bc2ff8
Пример команды с подключенным /proc:
$ docker run -v /proc:/proc ubuntu:latest \ /bin/bash -c "sysctl -a | grep local_port"net.ipv4.ip_local_port_range = 32768 61000$ docker run -v /proc:/proc --privileged ubuntu:latest \ /bin/bash -c "sysctl -p /updates/sysctl.conf"net.ipv4.ip_local_port_range = 2000 65000$ docker run -v /proc:/proc ubuntu:latest \ /bin/bash -c "sysctl -a | grep local_port"net.ipv4.ip_local_port_range = 32768 61000$ docker run -v /proc:/proc --privileged ubuntu:latest \ /bin/bash -c "sysctl -a | grep local_port"net.ipv4.ip_local_port_range = 32768 61000
Этот конкретный параметр подпадает под влияние сетевого пространства имен, в котором выполняется docker.
Как общее правило /proc изменяет настройки, которые имеют отношение к системе в целом, с технической точки зрения, однако вы изменяете настройки в /proc/net который возвращает результаты для каждого сетевого пространства имен.
Обратите внимание, что /proc/net на самом деле это символическая ссылка на /proc/self/net поскольку это действительно отражает настройки пространства имен, в котором вы выполняете работу.
Docker 1.12+ имеет встроенную поддержку для настройки значений sysctl внутри контейнеров. Вот выдержка из документация:
Настройка параметров ядра с пространством имен (sysctls) во время выполнения
Параметр --sysctl задает параметры ядра с пространством имен (sysctls) в контейнере. Например, чтобы включить переадресацию IP-адресов в пространстве имен containers network, выполните эту команду:
docker run --sysctl net.ipv4.ip_forward=1 someimage
Используя ваш пример, правильный способ поднять net.core.somaxconn было бы:
docker run ... --sysctl net.core.somaxconn=65535 ...
Привилегированный контейнер по-прежнему использует свое собственное пространство имен процессов для /proc. Что вы можете сделать, так это установить настоящий /proc внутри контейнера: