我正在尝试配置Docker Deamon以遵循CIS基准测试。其中一个建议是在启动时配置默认的ulimit参数。他们给出了dockerd --default-ulimit nproc=1024:2048 --default-ulimit nofile=100:200
的例子
我怎么知道如何为我的特定环境计算nproc
和nofile
的最佳设置?
我想,要设置它们,您需要知道应用程序的上限可能是多少。您需要首先运行应用程序并将它们置于您希望它们所处的负载类型下,然后测量限制并打开文件。
有关如何检查限制的信息,请参阅https://unix.stackexchange.com/questions/230346/how-to-check-ulimit-usage。您需要获得作为容器运行的所有PID的限制。然后我会给它们填上一些空间来解释余量。
即使这样,你也可能会不断追逐极限,因为在应用程序投入生产之前,可能很难准确地将所有这些变为正确。