Tag: linux kernel
如何禁止普通用户读取docker中的文件“/ proc / cpuinfo”?
默认情况下,docker中的所有用户都可以读取文件“/ proc / cpuinfo”。 所以任何用户都可以从中获取主机的信息。 我想知道如何禁止普通用户在Docker中读取文件“/ proc / cpuinfo”,或者从中获取任何有用的东西也没关系。 如果我把这个文件改成440,该怎么办?
容器是否依赖于特定的主机?
我有一个具有内核空间代码的应用程序,它在Linux内核2.6.32-431.el6.x86_64 (centos 6.5)中编译。 然后将其作为内核模块安装以运行该应用程序。 当我尝试使用Docker(安装在Amazon Linux AWS EC2实例中)容纳我的应用程序时,它抱怨更高的内核版本与模块不兼容。 是否我必须将Docker安装在内核版本为2.6.32-431.el6.x86_64的主机上? 如果是,我们的容器是否依赖于特定的主机?
Alpine Linux是否是Unikernel的实现?
我一直在阅读很多有关Docker容器和Unikernel的内容,以及如何使用我自己的应用程序运行轻量级环境。 我知道Linux容器和Unikernel是不同的东西,因为第一个是与主机操作系统共享资源的内核特性(比如命名空间,cgroups等)的实现,而后者是围绕应用程序构build的独立专用库操作系统。 但后来我偶然发现了Dockerhub中的Alpine linux衍生图像。 他们非常轻巧,非常专业。 但他们是否运行相同的LXC / runcfunction? 是否有可能在使用Docker的虚拟机pipe理程序实施下运行unikernel? 高山图像与其他图像有什么不同?
在Docker容器中更改/ proc / sys / kernel / core_pattern文件
如何更改特权模式的docker容器内的/proc/sys/kernel/core_pattern文件? 是否有任何标志传递给docker daemon或docker run或任何有关的Dockerfile ?
如何在Docker中使用ebtables?
当我在Ubuntu Docker容器中运行/sbin/ebtables –list时,我收到消息: root@500790dca629:/core-release-4.8# /sbin/ebtables –list modprobe: ERROR: ../libkmod/libkmod.c:557 kmod_search_moddep() could not open moddep file '/lib/modules/4.4.43-boot2docker/modules.dep.bin' The kernel doesn't support the ebtables 'filter' table. 如何在Docker中启用ebtables?
Docker – 命名空间查询
每当我启动一个新的docker集装箱时,在名称空间方面究竟发生了什么? 我的理解是,当我创build一个名为“X”的容器时,X将获得IPC,Network,Mount,PID,User,UTS的每个内核命名空间的实例,容器“Y”将获得它自己的名称空间实例IPC,networking,安装,PID,用户,UTS等我是否正确?
如何在Docker容器上应用内核调优
我build立了3个不同的应用程序容器与docker引擎v1.12在CentOS 7.2操作系统的顶端,即Nginx的,MySQL和mongo。 我想根据应用程序和它们各自的容器来应用不同的内核设置。 例如,我想在Mongo和MySQL容器vm.zone_reclaim_mode设置为0 ,而想要在vm.zone_reclaim_mode容器vm.zone_reclaim_mode为1 。 我尝试使用–privileged命令启动映像并修改了内核设置,但是更改了主机操作系统的设置并将其应用于所有容器。 我已经通过了许多文档,并了解容器运行主机内核。 我想知道是否有任何方法来保持特定于容器的内核设置?
在虚拟服务器上运行docker-可能与否?
我试图在我的vServer上运行/安装docker,如果甚至可能找不到信息..我现在试过CentOS(6&7),Ubuntu,Debian和Fedora,我只是无法获得docker守护进程跑步。 docker.service – Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; disabled) Active: failed (Result: exit-code) since So 2015-04-05 17:12:23 EDT; 16s ago Docs: http://docs.docker.com Process: 956 ExecStart=/usr/bin/docker -d $OPTIONS $DOCKER_STORAGE_OPTIONS $DOCKER_NETWORK_OPTIONS $INSECURE_REGISTRY (code=exited, status=1/FAILURE) Main PID: 956 (code=exited, status=1/FAILURE) Apr 05 17:12:23 vvs.valentinsavenko.com systemd[1]: Starting Docker Applicati… Apr 05 17:12:23 vvs.valentinsavenko.com docker[956]: time="2015-04-05T17:12:2… Apr 05 […]
当由于OOM而终止任务时,内核在内核中的内存使用情况报告
Docker容器内的任务由于OOM而被杀害。 这是来自/ var / log / messsages的日志。 Feb 17 19:01:24 ip-10-0-1-85 kernel: [16211.346602] uwsgi invoked oom-killer: gfp_mask=0xd0, order=0, oom_score_adj=0 Feb 17 19:01:24 ip-10-0-1-85 kernel: [16211.351446] uwsgi cpuset=4ad797e0720ad05c90cb8f5afaa9902172c4aac9319d464e669091615b52d134 mems_allowed=0 Feb 17 19:01:24 ip-10-0-1-85 kernel: [16211.356702] CPU: 0 PID: 3969 Comm: uwsgi Tainted: GE 4.1.13-19.31.amzn1.x86_64 #1 Feb 17 19:01:24 ip-10-0-1-85 kernel: [16211.361608] Hardware name: Xen HVM domU, […]
当运行具有资源限制的docker容器时,ps aux会挂起call_rwsem_down_write_failed
所有的,我运行一个具有资源限制的Java应用程序容器,因为大量的OOM杀死事件每2或3分钟发生一次,然后执行ps aux,命令挂起。 这个问题很容易重现,当运行docker实例与kubernete和khugepage已经被设置为禁用。 任何人都可以帮忙吗? 谢谢。 2. physical machine with system info: “` 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux CentOS Linux release 7.2.1511 (Core) “` 3. strace info: “` read(6, "Name:\tpause\nState:\tS (sleeping)\n"…, 2048) = 1065 close(6) = 0 open("/proc/43136/cmdline", O_RDONLY) = 6 read(6, "/pause\0", 131072) = 7 read(6, "", […]
