如何限制 docker run 容器执行时长?

本贴最后更新于 1997 天前,其中的信息可能已经物是人非

需求背景

有的时候我们需要跑一些不一定安全(不受信任)的程序时,可以通过 docker 实现资源隔离,其执行时长也需要控制,如果执行时间太长就终止运行。

Docker 本身是否支持超时控制

从 2013 年开始每隔一段时间都有人呼吁 docker 官方来实现这个特性,但官方并不打算实现。

具体讨论细节请看 Issue #1905 · moby/moby

错误的方案

以上讨论中以及其他地方陆续有人提出“外围”解决方案,其中有两种常见的错误方案值得我们注意。

kill docker run

timeout 3 docker run ... untrusted_program

docker run 本身是一个 docker client 派生的进程,使用 kill docker run 进程来终止容器进程运行(比如通过 Linux 命令 timeout 或者类似发送 kill 到 docker run 进程)的方案都可能会有问题,导致容器进程无法终止。主要原因是:

  • docker run 这个进程不一定能及时响应信号,即使响应了信号,也不一定能传到容器进程,比如 SIGKILL 就没法传递
  • 即使通过 docker run 进程将信号传给了容器进程,但容器进程也不一定响应该信号,比如非 SIGKILL 信号会被忽略

docker run kill

docker run ... timeout 3 untrusted_program 

在容器进程执行前进行一定包装处理,比如还是通过 timeout 来控制执行时间。看上去没啥问题,但实际上这个做法非常不安全,因为这个不受信程序可以派生其他进程甚至修改已有的进程空间导致包装处理失效。

正确的解决方案

限制 docker run 执行超时唯一可靠的方法是通过 docker 容器操作命令(stop/kill/rm -f 等)来发送 SIGKILL 信号,这样 SIGKILL 信号会直接发到容器进程上。

当然,最终容器进程能不能被终止还要看进程所处状态,比如处于 D 状态就无法终止。

  • Docker

    Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的操作系统上。容器完全使用沙箱机制,几乎没有性能开销,可以很容易地在机器和数据中心中运行。

    490 引用 • 916 回帖 • 2 关注
  • 进程
    15 引用 • 4 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • someone

    重写 dockerfile,通过控制内部守护进程的运行时间来达到控制容器运行时间控制不是更方便快捷?

    1 回复
  • 88250

    这应该和文中提到的 docker run kill 方案类似,会存在安全漏洞吧。

  • someone

    D 大,你的博客是部署在什么服务器上的,阿里云?腾讯云?还是国外的

    该回帖因偏离主题而被折叠
    1 回复
    1 操作
    88250 在 2019-07-16 10:05:17 折叠了该回帖
  • 88250

    阿里云。

    该回帖因偏离主题而被折叠
    1 操作
    88250 在 2019-07-16 10:05:21 折叠了该回帖