博客搬家,原地址:https://langzi989.github.io/2016/12/29/docker防止fork炸弹/
在开发过程中,我们使用了docker作为容器来进行编程语言代码的评测,以用于防止有害代码破坏宿主物理机器,但是在昨天发现docker还是会受fork炸弹的影响将宿主物理机器挂掉。针对这个问题,我在docker官网找到了相关的解决方法,记录分享并以备之后再次遇到此类问题可以很快找到解决方案。
当前解决方案只适用于docker1.1版本及之后(通过docker.io进行安装,sudo apt install docker.io)。
解决方案的思想就是:在启动docker的时候给其加上启动选项–pids-limit来限制cgroup中的fork的进程的最大数,我这里限制的30,可以根据自己的需求去限制。
docker run -it --pids-limit 30 Ubuntu:14.04
上述方法即可防止fork炸弹。
以下内容转载自http://blog.csdn.net/thinkhy/article/details/50995720