[server] 권한이있는 Docker 컨테이너를 사용한 커널 튜닝

로드 밸런서의 커널 설정을 조정하기위한 컨테이너를 만들고 있습니다. 단일 권한 컨테이너를 사용하여 이미지의 변경 사항을 호스트에 배포하고 싶습니다. 예를 들면 다음과 같습니다.

docker run --rm --privileged ubuntu:latest sysctl -w net.core.somaxconn=65535

테스트에서 변경 사항은 해당 컨테이너에만 적용됩니다. 전적으로 권한이있는 컨테이너를 / proc로 변경하면 기본 OS가 실제로 변경 될 것이라는 인상을 받았습니다.

$docker run --rm --privileged ubuntu:latest \
    sysctl -w net.core.somaxconn=65535
net.core.somaxconn = 65535

$ docker run --rm --privileged ubuntu:latest \
    /bin/bash -c "sysctl -a | grep somaxconn"
net.core.somaxconn = 128

이것이 특권 컨테이너가 작동하는 방식입니까?

방금 바보 같은 짓을하는거야?

지속적인 변경을 수행하는 가장 좋은 방법은 무엇입니까?

버전 정보 :

Client version: 1.4.1
Client API version: 1.16
Go version (client): go1.3.3
Git commit (client): 5bc2ff8
OS/Arch (client): linux/amd64
Server version: 1.4.1
Server API version: 1.16
Go version (server): go1.3.3
Git commit (server): 5bc2ff8

/ proc가 마운트 된 명령 예 :

$ docker run -v /proc:/proc ubuntu:latest \
    /bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768    61000

$ docker run -v /proc:/proc --privileged ubuntu:latest \
    /bin/bash -c "sysctl -p /updates/sysctl.conf"
net.ipv4.ip_local_port_range = 2000 65000

$ docker run -v /proc:/proc ubuntu:latest \
    /bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768    61000

$ docker run -v /proc:/proc --privileged ubuntu:latest \
    /bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768    61000

답변

docker run ... --sysctl net.core.somaxconn=65535 ...

docker run --rm --privileged -v /proc:/host-proc ubuntu:latest \
  'echo 65535 > /host-proc/sys/net/core/somaxconn'

docker run --privileged --net=host --rm ubuntu:latest /bin/sh -c \
   'echo 65535 > /proc/sys/net/core/somaxconn'