Docker 守护进程配置之配置合适的 ulimit

描述

需要根据环境设置默认的 ulimit 选项。

安全出发点

ulimit 提供对 shell 可用资源的控制。设置系统资源控制可以防止资源耗尽带来的问题，如 fork 炸弹。有时候合法的用户和进程也可能过
度使用系统资源，导致系统资源耗尽。
为 Docker 守护进程设置默认的 ulimit 将强制执行所有容器的 ulimit。不需要单独为每个容器设置 ulimit。但默认的 ulimit 可能在
容器运行时被覆盖。因此，要控制系统资源，需要自定义默认的 ulimit。

审计方法

ps -ef | grep dockerd

结果判定

确保根据需要设置了 ' --default-ulimit ' 的参数。

修复措施

在守护进程模式下运行 Docker，并根据相应的 ulimits 传递 ' --default-ulimit ' 作为参数，如：
dockerd --default-ulimit nproc = 1024:2048 --default-ulimit nofile = 100:200

影响

如果 ulimits 未正确设置，则可能无法实现所需的资源控制，甚至可能导致系统无法使用。

默认值

未设置 ulimit.