fs.may_detach_mounts

  • 控制一个进程是否可以卸载挂载点的文件系统

当 may_detach_mounts 的值为 0 时,进程不允许卸载已挂载的文件系统,当值为 1 时,则允许卸载。该参数只适用于 Linux 2.6.28 及更高版本的内核。

容器化场景下:当一个进程在容器内挂载了文件系统,但它在容器外部已被卸载时,如果该参数值为 0,
那么在容器内部的进程无法卸载这个已被卸载的文件系统,会出现类似 “device is busy” 的错误。
如果将该参数设置为 1,则容器内的进程可以卸载这个已被卸载的文件系统。

注意:修改 may_detach_mounts 参数可能会导致一些系统安全问题,因此在修改该参数之前,请仔细评估相关的风险。

1
2
3
# 永久生效
echo " fs.may_detach_mounts=1" >> /etc/sysctl.conf
sysctl -p

vm.overcommit_memory

  • 内存分配策略

可选值:0、1、2
0:表示内核将检查是否有足够的可用内存供应用进程使用;如果有足够的可用内存,内存申请允许;否则,内存申请失败,并把错误返回给应用进程。
1:表示内核允许分配所有的物理内存,而不管当前的内存状态如何。
2:表示内核允许分配超过所有物理内存和交换空间总和的内存

  • Overcommit 和 OOM

Linux对大部分申请内存的请求都回复”yes”,以便能跑更多更大的程序。 因为申请内存后,并不会马上使用内存。这种技术叫做 Overcommit。
当linux发现内存不足时,会发生OOM killer(OOM=out-of-memory)。 它会选择杀死一些进程(用户态进程,不是内核线程),以便释放内存。

当oom-killer发生时,linux会选择杀死哪些进程?选择进程的函数是oom_badness函数(在mm/oom_kill.c中),该 函数会计算每个进程的点数(0~1000)。
点数越高,这个进程越有可能被杀死。每个进程的点数跟oom_score_adj有关,而且 oom_score_adj可以被设置(-1000最低,1000最高)。

  • 解决方法

将 vm.overcommit_memory 设为1

1
2
3
4
5
6
7
# 临时生效
sysctl vm.overcommit_memory=1
echo 1 > /proc/sys/vm/overcommit_memory

# 永久生效
echo "vm.overcommit_memory=1" >> /etc/sysctl.conf
sysctl -p

net.ipv4.conf.all.route_localnet

  • 默认情况下不能将本机的请求跳转/转发到回环接口上

在某些场景下会用在一台主机内网络流量重定向,比如将在本机回环设备中的数据包强行转发到另一台主机上。
结果发现原本在正常的NAT场景中生效的iptables规则在loopback数据包的转发中并不起作用

  • 解决方案

回环lo接口上的127.0.0.1地址,不允许发到设备外部sysctl -w net.ipv4.conf.eth0.route_localnet=1开启route_localnet后,数据包就可以在lo上做nat

1
2
3
4
5
6
7
8
9
# 临时生效
sysctl -w net.ipv4.conf.eth0.route_localnet=1

# 永久生效
echo "net.ipv4.conf.eth0.route_localnet=1" >> /etc/sysctl.conf
sysctl -p

# iptables命令
如果只是本机内的端口跳转可以使用 -j REDIRECT --to-ports port-number