在bash中,有個ulimit命令,提供了對shell及該shell啟動的進程的可用資源控制。主要包括開啟檔案描述符數量、使用者的最大進程數量、coredump檔案的大小等。
在centos 5/6 等版本中,資源限制的配置可以在 /etc/security/limits.conf 設定,針對root/user等各個使用者或者*代表所有使用者來設定。 當然,/etc/security/limits.d/ 中可以配置,系統是先載入limits.conf然後按照英文字母順序載入limits.d目錄下的設定檔,後載入配置覆蓋之前的配置。 一個配置樣本如下:
* soft nofile 100000
* hard nofile 100000
* soft nproc 100000
* hard nproc 100000
* soft core 100000
* hard core 100000
不過,在CentOS 7 / RHEL 7的系統中,使用Systemd替代了之前的SysV,因此 /etc/security/limits.conf 檔案的配置範圍縮小了一些。limits.conf這裡的配置,只適用於通過PAM認證登入使用者的資源限制,它對systemd的service的資源限制不生效。登入使用者的限制,與上面講的一樣,通過 /etc/security/limits.conf 和 limits.d 來配置即可。
對於systemd service的資源限制,如何配置呢?
全域的配置,放在檔案 /etc/systemd/system.conf 和 /etc/systemd/user.conf。 同時,也會載入兩個對應的目錄中的所有.conf檔案 /etc/systemd/system.conf.d/*.conf 和 /etc/systemd/user.conf.d/*.conf
其中,system.conf 是系統執行個體使用的,user.conf使用者執行個體使用的。一般的sevice,使用system.conf中的配置即可。systemd.conf.d/*.conf中配置會覆蓋system.conf。
DefaultLimitCORE=infinity
DefaultLimitNOFILE=100000
DefaultLimitNPROC=100000
注意:修改了system.conf後,需要重啟系統才會生效。
針對單個Service,也可以設定,以nginx為例。
編輯 /usr/lib/systemd/system/nginx.service 檔案,或者
/usr/lib/systemd/system/nginx.service.d/my-limit.conf 檔案,做如下配置:
[Service]
LimitCORE=infinity
LimitNOFILE=100000
LimitNPROC=100000
然後運行如下命令,才會生效。
sudo systemctl daemon-reload
sudo systemctl restart nginx.service
查看一個進程的limit設定:cat /proc/YOUR-PID/limits
例如我的一個nginx service的配置效果:
$cat /proc/$(cat /var/run/nginx.pid)/limits
Limit Soft Limit Hard Limit Units
Max cpu time unlimited unlimited seconds
Max file size unlimited unlimited bytes
Max data size unlimited unlimited bytes
Max stack size 8388608 unlimited bytes
Max core file size unlimited unlimited bytes
Max resident set unlimited unlimited bytes
Max processes 100000 100000 processes
Max open files 100000 100000 files
Max locked memory 65536 65536 bytes
Max address space unlimited unlimited bytes
Max file locks unlimited unlimited locks
Max pending signals 1030606 1030606 signals
Max msgqueue size 819200 819200 bytes
Max nice priority 0 0
Max realtime priority 0 0
Max realtime timeout unlimited unlimited us
順便提一下,我還被CentOS7內建的/etc/security/limits.d/20-nproc.conf檔案坑過,裡面預設設定了非root使用者的最大進程數為4096,難怪我上次在limits.conf中設定了沒啥效果,原來被limit.d目錄中的配置覆蓋了。