Флаг сборки Docker --ulimit не действует

Мои сборки докеров не работают из-за ошибки ограничения дескриптора файла. Они вылетают с

Error: EMFILE: too many open files

когда я проверяю ulimit -n в контейнере, я вижу

-n: file descriptors 1024

Поэтому я передаю следующие флаги моей команде сборки

docker build --ulimit nofile=65536:65536 -t web .

но это ничего не меняет, мой контейнер все равно показывает

-n: file descriptors 1024

Независимо от того, что я делаю, я, похоже, не могу изменить этот предел файлового дескриптора ulimit.

Что я здесь делаю неправильно?


docker ulimit
person Cheyne    schedule 20.09.2018    source источник

Ответы (3)


arrow_upward
5
arrow_downward

Итак, я обнаружил причину. Публикация ответа на случай, если у кого-то еще возникнет такая же проблема, поскольку я просто потратил на это большую часть дня. Я отлаживал очень долгую сборку и использовал

export DOCKER_BUILDKIT=1

чтобы включить некоторую расширенную информацию о сборке. Очень полезные тайминги и т. д., хотя кажется, что включение DOCKER_BUILDKIT полностью игнорирует флаги ulimit, переданные команде сборки docker.
Когда я устанавливаю

export DOCKER_BUILDKIT=0

оно работает. Короче говоря, избегайте использования buildkit с параметрами ulimit.

person Cheyne    schedule 20.09.2018

arrow_upward
2
arrow_downward

Я написал простой тест, и он отлично работает на Docker 18.06.

> $ docker -v
Docker version 18.06.1-ce, build e68fc7a

Я создал Dockerfile вот так:

FROM alpine
RUN ulimit -n > /tmp/ulimit.txt

А потом:

> $ docker build --ulimit nofile=65536:65536 .
Sending build context to Docker daemon  2.048kB
Step 1/2 : FROM alpine
 ---> e21c333399e0
Step 2/2 : RUN ulimit -n > /tmp/ulimit.txt
 ---> Running in 1aa4391d057d
Removing intermediate container 1aa4391d057d
 ---> 18dd1953d365
Successfully built 18dd1953d365

docker run -ti 18dd1953d365 cat /tmp/ulimit.txt
65536

> $ docker build --ulimit nofile=1024:1024 --no-cache .
Sending build context to Docker daemon  2.048kB
Step 1/2 : FROM alpine
 ---> e21c333399e0
Step 2/2 : RUN ulimit -n > /tmp/ulimit.txt
 ---> Running in c20067d1fe10
Removing intermediate container c20067d1fe10
 ---> 134fc7252574
Successfully built 134fc7252574

> $ docker run -ti 134fc7252574 cat /tmp/ulimit.txt
1024
person Simonluca Landi    schedule 20.09.2018
comment
Спасибо за тестирование. Я обнаружил, что происходит, и опубликовал решение выше. - person Cheyne; 20.09.2018

arrow_upward
0
arrow_downward

При использовании BuildKit докер, похоже, выполняет команду в контексте модуля systemd демона, у которого есть ulimit.

Я использовал Dockerfile для проверки:

> cat <<EOF >Dockerfile
FROM alpine
RUN echo -e "\n\n-----------------\nulimit: $(ulimit -n)\n-----------------\n\n"
EOF

Сначала проверьте фактические предельные значения для службы докеров:

> systemctl show docker.service | grep LimitNOFILE
LimitNOFILE=infinity
LimitNOFILESoft=infinity

Значения, установленные внутри работающего контейнера, равны 1048576:

> docker run -it --rm alpine sh -c "ulimit -n"
1048576

Значения, установленные внутри сборки BuildKit, равны 1073741816:

> DOCKER_BUILDKIT=1 docker build --progress=plain --no-cache .
#2 [internal] load build definition from Dockerfile
#2 transferring dockerfile: 195B done
#2 DONE 0.0s

#1 [internal] load .dockerignore
#1 transferring context: 2B done
#1 DONE 0.0s

#3 [internal] load metadata for docker.io/library/alpine:latest
#3 DONE 0.0s

#5 [1/2] FROM docker.io/library/alpine
#5 CACHED

#4 [2/2] RUN echo -e "\n\n-----------------\nulimit: $(ulimit -n)\n--------...
#4 0.452
#4 0.452
#4 0.452 -----------------
#4 0.452 ulimit: 1073741816
#4 0.452 -----------------
#4 0.452
#4 0.452
#4 DONE 0.5s

#6 exporting to image
#6 exporting layers 0.0s done
#6 writing image sha256:facf7aee0b81d814d5b23a663e4f859ec8ba54d7e5fe6fdbbf8beacf0194393b done
#6 DONE 0.0s

Настройте docker.service, чтобы установить другое значение по умолчанию (LimitNOFILE=1024), которое также будет использоваться BuildKit (будьте осторожны, чтобы не перезаписать существующий файл):

> mkdir -p /etc/systemd/system/docker.service.d
> cat <<EOF >/etc/systemd/system/docker.service.d/service.conf.ok
[Service]
LimitNOFILE=1024
EOF
> systemctl daemon-reload
> systemctl restart docker.service

Значения, установленные внутри работающего контейнера, остаются неизменными до 1048576:

> docker run -it --rm alpine sh -c "ulimit -n"
1048576

Значения, установленные внутри сборки BuildKit, теперь равны 1024:

> DOCKER_BUILDKIT=1 docker build --progress=plain --no-cache .
#2 [internal] load build definition from Dockerfile
#2 transferring dockerfile: 195B done
#2 DONE 0.0s

#1 [internal] load .dockerignore
#1 transferring context: 2B done
#1 DONE 0.0s

#3 [internal] load metadata for docker.io/library/alpine:latest
#3 DONE 0.0s

#5 [1/2] FROM docker.io/library/alpine
#5 CACHED

#4 [2/2] RUN echo -e "\n\n-----------------\nulimit: $(ulimit -n)\n--------...
#4 0.452
#4 0.452
#4 0.452 -----------------
#4 0.452 ulimit: 1024
#4 0.452 -----------------
#4 0.452
#4 0.452
#4 DONE 0.5s

#6 exporting to image
#6 exporting layers 0.0s done
#6 writing image sha256:7e40c8a8d5f0ca8f2b2b53515f11f47655f6e1693ffcd5f5a118402c13a44ab4 done
#6 DONE 0.0s
person hvlad    schedule 04.06.2020