如何限制 docker run 容器执行时长？

需求背景

有的时候我们需要跑一些不一定安全（不受信任）的程序时，可以通过 docker 实现资源隔离，其执行时长也需要控制，如果执行时间太长就终止运行。

Docker 本身是否支持超时控制

从 2013 年开始每隔一段时间都有人呼吁 docker 官方来实现这个特性，但官方并不打算实现。

具体讨论细节请看 Issue #1905 · moby/moby 。

错误的方案

以上讨论中以及其他地方陆续有人提出“外围”解决方案，其中有两种常见的错误方案值得我们注意。

kill docker run

timeout 3 docker run ... untrusted_program

docker run 本身是一个 docker client 派生的进程，使用 kill docker run 进程来终止容器进程运行（比如通过 Linux 命令 timeout 或者类似发送 kill 到 docker run 进程）的方案都可能会有问题，导致容器进程无法终止。主要原因是：

docker run 这个进程不一定能及时响应信号，即使响应了信号，也不一定能传到容器进程，比如 SIGKILL 就没法传递
即使通过 docker run 进程将信号传给了容器进程，但容器进程也不一定响应该信号，比如非 SIGKILL 信号会被忽略

docker run kill

docker run ... timeout 3 untrusted_program

在容器进程执行前进行一定包装处理，比如还是通过 timeout 来控制执行时间。看上去没啥问题，但实际上这个做法非常不安全，因为这个不受信程序可以派生其他进程甚至修改已有的进程空间导致包装处理失效。

正确的解决方案

限制 docker run 执行超时唯一可靠的方法是通过 docker 容器操作命令（stop/kill/rm -f 等）来发送 SIGKILL 信号，这样 SIGKILL 信号会直接发到容器进程上。

当然，最终容器进程能不能被终止还要看进程所处状态，比如处于 D 状态就无法终止。

进程，系统性能和计划任务 3

3 任务计划通过任务计划，可以让系统自动的按时间或周期性任务执行任务注意: 学习本节需要实现邮件通知,学习内容前必须安装并启动邮件服务范例：环境准备 [root@centos8 ~]#yum -y install postfix [root@centos8 ~]#systemctl enable --now po ..

聊一聊进程和线程

前言前段时间一直在研究多线程相关的东西，乘着时间多又回顾了下操作系统关于进程和线程的知识。必须要明确的概念进程和线程是一种资源,动态的存在于系统中。从实现上来看进程是一种数据结构，是静态的概念。通常一个进程对应于系统中活动的程序。进程是用来干嘛的？我们知道在早期的计算机操作系统中，cpu 一次只能执行一个任 ..

Linux 常用命令 (慢慢积累)

1.ps -ef | grep xxx 使用说明查看使用进程信息 ps -ef的意思是以长格式显示所有进程，“|”是管道，意思是前面ps的输出做为后面的输入，然后grep xxxx是在所有进程里查找与字符xxxx有关的进程，并显示出来 ps命令就是最根本相应情况下也是相当强大地进程查看命令 ps[选项] -e显示所 ..

记录一些 Docker 清理的命令

查看磁盘占用 # 切换到docker文件的目录 $ cd /path/to/docker # 查看磁盘占用情况 $ du --max-depth=1 -h . # 查看整体磁盘使用情况 $ df -h 清理无用的镜像手动清理 # 查看镜像列表 $ docker images # 删除镜像 $ docker rmi $ ..

架构概要

这里我将会从上到下分为 5 层来说明 docker 运行的原理 [图片] 整体的架构就是 C/S 架构,也就是 client/server 架构第一层: Docker Daemon Docker Daemon 的作用：它是 Docker 的守护进程，负责接收来自 Docker 客户端的命令并执行相应的操作。可以通过修 ..

欢迎来到这里！