如果容器中的应用创建过多的进程或者出现 bug,就会产生类似 fork bomb 的行为。fork bomb 就是指在计算机中,通过不断建立新进程来消耗系统中的进程资源,它是一种黑客攻击方式。这样,容器中的进程数就会把整个节点的可用进程总数给消耗完。这样,不但会使同一个节点上的其他容器无法工作,还会让宿主机本身也无法工作。
所以需要限制容器的最大进程数目,而这个功能是由 pids Cgroup 这个子系统完成的。用户接口是 /sys/fs/cgroup/pids 下子目录中的 pids.max 文件来进行控制。
巨人的肩膀
- 极客时间.《容器实战》