Docker在欧拉系统上内核参数优化实践

最新推荐文章于 2025-10-09 10:39:26 发布
原创 最新推荐文章于 2025-10-09 10:39:26 发布 · 1.2k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #linux

系列文章目录

Docker在欧拉系统上内核参数优化实践

文章目录

前言

国产欧拉系统在国内企业开始普及,Dcoker部署也支持很好,关于内核参数优化这块分享一下。也是遇到了很多坑后的积累。

欧拉系统默认内核参数

欧拉系统(openEuler)作为基于Linux的企业级操作系统,其默认内核参数继承并优化了Linux内核的默认配置,同时针对服务器场景进行了调整。以下是关键参数的分类说明:

进程与内存管理

  • vm.swappiness:默认值通常为60,表示系统倾向于使用交换分区(swap)的程度。服务器场景可能调整为10以下以减少交换。
  • vm.overcommit_memory:默认为0,允许内核在估算内存分配时适度超售。数据库场景可能设为1禁止超售。
  • vm.dirty_ratiovm.dirty_background_ratio:分别默认为20%10%,控制脏页写入磁盘的阈值。

文件系统与IO

  • fs.file-max:默认值通常为8192或更高,表示系统最大文件句柄数。高并发场景需调至65535以上。
  • vm.dirty_expire_centisecs:默认为3000(30秒),定义脏页在内存中保留的最长时间。
  • fs.aio-max-nr:异步IO请求数上限,默认值通常为65536,适合高IO负载服务。

网络相关参数

  • net.ipv4.tcp_syncookies:默认为1,启用SYN洪水攻击防护。
  • net.ipv4.tcp_max_syn_backlog:默认128,定义半连接队列大小,高并发需增至2048
  • net.core.somaxconn:默认为128,调整监听队列长度,建议设为1024以上。
  • net.ipv4.tcp_tw_reuse:默认为0,启用(设为1)可加速TIME-WAIT状态端口重用。

内核调度与性能

  • kernel.sched_migration_cost_ns:默认值影响任务迁移决策,欧拉可能针对NUMA架构优化。
  • kernel.numa_balancing:默认为1,启用NUMA平衡,适用于多核服务器。
  • kernel.pid_max:进程ID上限,默认32768,容器环境下可调高。

查看与修改方法

  • 查看当前值
    sysctl -a | grep <参数名>
  • 临时修改
    sysctl -w <参数名>=<>
  • 永久生效
    编辑/etc/sysctl.conf,添加或修改参数后执行:
    sysctl -p

注意事项

  • 参数优化需结合具体负载测试,避免盲目调整。
  • 关键参数(如vm.swappiness)的默认值可能因欧拉版本或衍生发行版(如麒麟OS)略有差异。
  • 生产环境建议通过/etc/sysctl.d/目录分模块管理配置。

Docker容器的默认内核参数

Docker容器默认使用宿主机的内核,但通过命名空间(namespaces)和控制组(cgroups)实现隔离。以下是关键的内核参数及其默认行为:

内核命名空间隔离

  • PID命名空间:每个容器有独立的进程树,默认启用。
  • Network命名空间:每个容器拥有独立的网络栈(IP、端口、路由等)。
  • Mount命名空间:容器内的文件系统挂载点与宿主机隔离。
  • UTS命名空间:容器可以有自己的主机名和域名。
  • IPC命名空间:进程间通信(如System V IPC)隔离。
  • User命名空间:默认禁用,需手动启用以实现UID/GID映射。

内核参数控制

  • net.ipv4.ip_forward:默认为1,允许容器间网络通信。
  • net.core.somaxconn:默认值通常为128,影响容器内服务的连接队列大小。
  • vm.swappiness:默认值为60,容器继承宿主机设置(可通过--memory-swappiness调整)。

安全相关参数

  • Capabilities:默认限制容器权限,仅保留部分能力(如CHOWNNET_BIND_SERVICE等)。
  • Seccomp:默认启用过滤系统调用,配置文件位于/etc/docker/seccomp/default.json
  • AppArmor/SELinux:若宿主机启用,默认加载Docker的AppArmor/SELinux策略。

查看与修改方法

  • 查看宿主机内核参数:
    sysctl -a
  • 修改容器内核参数(需特权模式):
    docker run --privileged -it ubuntu sysctl -w <parameter>=<value>
  • 通过--sysctl覆盖特定参数(Docker 17.06+):
    docker run --sysctl net.core.somaxconn=1024 nginx

针对高并发业务场景,Docker容器优化参数

资源限制与分配

通过--cpus限制容器CPU使用量,避免单个容器耗尽主机资源。例如--cpus=2表示限制容器最多使用2个CPU核心。
使用--memory限制内存,例如--memory=4g限制容器内存为4GB。配合--memory-swap控制交换空间,防止内存溢出导致性能下降。

网络性能优化

选择高性能网络模式,如--network=host直接使用主机网络栈,减少NAT开销,适合延迟敏感型应用。
调整TCP内核参数:--sysctl net.core.somaxconn=1024增加连接队列长度,--sysctl net.ipv4.tcp_tw_reuse=1加速TIME_WAIT连接复用。

存储I/O优化

对磁盘密集型应用,使用--mount type=tmpfs,target=/cache将临时数据挂载到内存文件系统。
避免使用默认存储驱动,优先选择overlay2并配置--storage-opt overlay2.override_kernel_check=true以提升文件操作效率。

容器启动参数

设置--restart=always确保容器异常退出后自动重启,结合--health-cmd配置健康检查。
通过--ulimit nofile=65535调整文件描述符上限,应对高连接数场景。

编排工具配合

在Kubernetes中配置resources.requests/limits实现资源预留与硬限制。
使用HorizontalPodAutoscaler根据CPU/内存指标自动扩缩容,配合affinity规则分散容器部署节点。

监控与调优

集成cAdvisorPrometheus监控容器资源使用率,动态调整参数。
定期分析docker stats输出,识别CPU/内存瓶颈,针对性优化。

参数详解

docker run 命令用于启动容器,以下参数用于配置容器的资源限制和日志管理:

–ulimit nofile=65536:65536

设置容器内进程的打开文件描述符(file descriptor)的软限制和硬限制均为 65536。

  • nofile 表示最大文件打开数。
  • 第一个值(65536)是软限制(容器内进程可自行调整,但不能超过硬限制)。
  • 第二个值(65536)是硬限制(系统管理员设置的绝对上限)。

–ulimit nproc=65536:65536

设置容器内用户的最大进程数(软限制和硬限制均为 65536)。

  • nproc 表示单个用户可创建的进程数。
  • 超过限制可能导致 fork 失败或 bash: fork: retry: Resource temporarily unavailable 错误。

–log-driver=json-file

指定容器日志的驱动为 json-file,即日志以 JSON 格式存储到文件中。

  • 默认日志驱动,适合本地开发和调试。
  • 替代方案:syslogjournaldfluentd 等。

–log-opt max-size=50m

设置单个日志文件的最大大小为 50MB。

  • 当日志文件达到 50MB 时,Docker 会自动滚动(rotate)日志。

–log-opt max-file=10

设置保留的日志文件数量上限为 10 个。

  • 超过数量限制时,最旧的日志文件会被删除。
  • 结合 max-size,总日志量最多为 50MB × 10 = 500MB

典型应用场景

  • 高并发服务:通过 nofilenproc 调整限制,避免资源耗尽。
  • 日志管理:限制日志文件大小和数量,防止磁盘空间被占满。

注意事项

  • 修改 ulimit 需确保宿主机内核支持(如 fs.nr_openpid_max)。
  • 生产环境建议使用集中式日志系统(如 ELK、Fluentd)替代本地文件日志。

症状:ping丢包验证,执行命令dmesg 中频繁出现 conntrack: table full, dropping packet

  • 临时修改
  1. 增加条目上限
sysctl -w net.netfilter.nf_conntrack_max=2000000
  1. 缩短超时时间
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1800  # 30分钟
  • 永久生效
vi /etc/sysctl.conf
# 末尾追加
net.netfilter.nf_conntrack_max=2000000
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1800  # 30分钟
# 保存
sysctl -p

代码示例:启动优化后的容器

docker run -d \
  --name highload_app \
  --cpus=2 \
  --memory=4g \
  --network=host \
  --sysctl net.core.somaxconn=1024 \
  --mount type=tmpfs,target=/cache \
  --ulimit nofile=65536:65536 \
  --ulimit nproc=65536:65536 \
  --log-driver=json-file \
  --log-opt max-size=50m \
  --log-opt max-file=10  \
  --restart=always \
  your_image:latest

注意事项

  • 默认参数可能因Docker版本或宿主机OS不同而变化。
  • 修改内核参数需谨慎,可能影响容器稳定性或安全性。
  • 生产环境中建议通过编排工具(如Kubernetes)统一管理参数。
Docker安装】Ubuntu系统下离线部署Docker环境教程
jks212454的博客
08-08 4603
Docker安装】Ubuntu系统下离线部署Docker环境教程
Docker安装】openEuler系统之离线部署Docker环境
jks212454的博客
08-10 1298
Docker安装】openEuler系统之离线部署Docker环境
华为openEuler(欧拉)系统
董云飞的博客
09-25 8524
openEuler(欧拉)是一款开源操作系统。当前openEuler内核源于Linux,支持鲲鹏及其它多种处理器,能够充分释放计算芯片的潜能,是由全球开源贡献者构建的高效、稳定、安全的开源操作系统,适用于数据库、大数据、云计算、人工智能等应用场景。同时,openEuler是一个面向全球的操作系统开源社区,通过社区合作,打造创新平台,构建支持多处理器架构、统一和开放的操作系统,推动软硬件应用生态繁荣发展。 参考网址:https://docs.openeuler.org/zh/ 快速下载地址: openEul
配置Grafana以显示Kubernetes所有Workload类型变量
云原生运维的博客
10-09 359
在Grafana中配置Kubernetes监控面板时,需要通过Prometheus数据源查询并显示不同Workload类型(如Deployment、StatefulSet、DaemonSet等)。通过以上配置,可以创建动态的Kubernetes监控仪表板,实时查看各类Workload的运行状态和资源使用情况。此变量会列出所选命名空间下的所有Pod名称,作为基础数据源。
Euler 欧拉系统介绍
天道酬勤
05-28 9173
Euler 欧拉系统
欧拉内核热升级
wyx的博客
08-21 1949
欧拉系统内核源码在镜像中\openEuler-203-LTS-SP1-x86_64-dvd\Packages\kernel-source-5.10.0-136.12.0.86.oe2203sp1.x86_64的这个rpm包内,我们解压这个rpm包后会进入这个目录。从官方源码发现在openEuler-22.03-LTS-SP2版本已经修复了bug,我们下载openEuler-22.03-LTS-SP2版本的内核版本即可(找到本次我们需要修复的源码bug。最后uname -r查看升级成功。
欧拉系列学习笔记
weixin_30273501的博客
08-19 343
整理一下某咕日报内容。 原文地址 时刻告诉自己,我好菜啊。菜到啥都不会证,只能硬背。。。 先热热身,欧拉筛: 通过不扫描它的重复因子来达到线性。 具体说就是记录一个数的最小质因子。 Code: flag[1]=1; for(int i=2;i<=n;i++) { if(!flag[i]) prime[++num]=i; for(int j=1;j&l...
欧拉系统 kernel 升级、降级
Richardlygo的博客
09-07 2507
查看系统启动默认内核,uname -r 查看系统运行内核。--downloaddir= 指定包下载路径。下载升级 kernel rpm 软件包。--resolve 下载依赖项。查看系统 kernel 启动顺序。查看系统启动默认 kernel。查看可升级 kernel 版本。下载 kernel 升级软件包。系统初始 kernel 版本。查看 kernel 版本信息。设置默认启动 kernel。dnf 升级 kernel。rpm 升级 kernel。验证 kernel 版本。
精选资源
OpenEuler系统内核版本4.19
09-12
综上所述,OpenEuler系统内核版本4.19是一个集安全、性能、稳定性和硬件兼容性于一体的内核版本,特别适合在企业级环境中部署,尤其是对于那些希望采用国产化软硬件解决方案的组织。通过持续的更新和优化,OpenEuler...
在OpenEuler(欧拉)系统上用kubeadm部署(k8s)Kubernetes集群
Richardlygo的博客
09-07 4395
一、OpenEuler(欧拉) 系统简介openEuler 是开放原子开源基金会(OpenAtom Foundation)孵化及运营的开源项目;openEuler作为一个操作系统发行版平台,每两年推出一个LTS版本。该版本为企业级用户提供一个安全稳定可靠的操作系统。具体的介绍可以参考官网https://www.openeuler.org/zh/二、Kubernetes 1.24版本发布及改动。
欧拉系统上用Kubeadm方式部署(k8s)kubernetes多master高可用集群
Richardlygo的博客
09-08 2624
1.1 Kubernetes高可用集群部署1.1.1 集群架构1. 高可用拓扑可以设置 HA 集群:使用堆叠(stacked)控制平面节点,其中 etcd 节点与控制平面节点共存;使用外部 etcd 节点,其中 etcd 在与控制平面不同的节点上运行;在设置 HA 集群之前,应该仔细考虑每种拓扑的优缺点。2. 堆叠(Stacked) etcd 拓扑主要特点:etcd 分布式数据存储集群堆叠在 kubeadm 管理的控制平面节点上,作为控制平面的一个组件运行。
华为欧拉系统docker安装虚拟机
最新发布
11-06
嗯,用户想在华为欧拉系统中用Docker安装虚拟机,这其实是个概念混淆的问题。之前引用里提到过OpenEuler安装Docker的配置方法(引用1),也涉及GPU环境(引用2)和Tomcat容器(引用3),但用户真正需要的是虚拟机...
Docker网络性能优化:容器网络延迟与带宽调优技巧
gitblog_00128的博客
10-06 1036
你是否遇到过Docker容器间通信延迟过高、带宽不足的问题?本文将从网络模式选择、内核参数调优、资源限制配置三个维度,提供实用的Docker网络性能优化技巧,帮助你显著降低容器网络延迟,提升带宽利用率。读完本文,你将能够: - 选择最适合业务场景的Docker网络模式 - 掌握关键内核参数优化配置方法 - 合理设置容器网络资源限制 ## Docker网络模式选择与性能对比 Docker提供了多...
Linux: sysctl: sched_migration_cost_ns
mzhan017的博客
02-23 874
另一方面,增加sched_migration_cost可能会导致等待太长时间才能将进程从过载的 CPU 迁移到空闲 CPU。这意味着只有一小部分 CPU 将运行用户进程,而这些 CPU 的负载平均值将大于 1,而其他 CPU 处于空闲状态。增加sched_migration_cost,会导致内核调度程序行为发生变化,也就是将进程从过载的 CPU 迁移到空闲 CPU 的等待时间更长,然而迁移(上下文切换)会减少。如果系统的线程比较多的时候,可能通过增加这个值来,对线程做迁移时更慎重。
性能提升80%!欧拉系统中Python工具调优的7个关键技巧
DevPath的博客
10-03 691
掌握欧拉系统Python工具调优技巧,显著提升运行效率。本文分享7个关键优化方法,涵盖内存管理、代码编译与并发处理,适用于高性能计算场景,实现性能提升80%。实用经验值得收藏。
欧拉操作系统和centos命令一样吗?
2403_89345764的博客
12-01 1312
欧拉操作系统(EulerOS)和CentOS在命令集上基本一致,因为两者都是基于Linux内核的发行版,且都遵循POSIX标准。这意味着大多数常见的Linux命令在两个系统中都能正常工作,例如文件操作命令(如cpmvrm)、文本处理命令(如grepsedawk)、网络配置命令(如ifconfigping)等。
Linux 内核参数 net.core.somaxconn 详解
myy2012的专栏
04-09 1381
【代码】‌Linux 内核参数 net.core.somaxconn 详解。
net.core.somaxconn
eagooqi的专栏
09-23 1956
/sbin/sysctl -w net.core.somaxconn=1024 一般设置: 1 sudo vi /etc/sysctl.conf  在最下面编辑添加:  net.ipv4.tcp_fin_timeout = 30  net.ipv4.tcp_keepalive_time = 1200  net.ipv4.route.gc_timeout = 100  net.ipv4
基于Docker环境开发调试Linux内核和网络驱动
dragonnoodle的博客
06-09 1237
Linux内核源码默认通过kernel.org下载,国内访问可能较慢。介绍Docker环境的基础配置,包括安装Docker、配置权限、拉取合适的镜像。说明如何选择合适的Linux发行版镜像作为开发环境的基础。分析常见的性能瓶颈和调试技巧,如中断处理优化和DMA配置。说明如何将开发环境容器化,并集成到CI/CD流程中。列出相关的内核文档、书籍和社区资源,### 环境准备。解释如何编译和加载驱动模块,以及常用的调试方法(如。说明如何测试驱动的基本功能,包括发送和接收数据包。说明如何编写一个简单的网络驱动框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑞瑞绮绮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值