
<div dir="ltr"><div class="gmail_default" style="font-size:small">I am fine with having full interaction with the host. The host does not do anything, it is like a glove for my app, which uses UDP very intensely, like 500 Mbits per second. I need to fine-tune all its parameters.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 25, 2019 at 9:52 PM Stéphane Graber <<a href="mailto:stgraber@ubuntu.com">stgraber@ubuntu.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">So the missing ones there's really nothing you can do about, though<br>

normally that shouldn't cause sysctl application to fail as it's<br>

somewhat common for systems to have a different set of sysctls.<br>

<br>

In this case, it's because the network namespace is filtering some of them.<br>

<br>

If your container doesn't need isolated networking, in theory using the<br>

host namespace for the network would cause those to show back up, but<br>

note that sharing network namespace with the host may have some very<br>

weird side effects (such as systemd in the container interacting with<br>

the host's).<br>

<br>

On Sat, May 25, 2019 at 09:36:25PM -0400, Saint Michael wrote:<br>

> some things do not work inside the container<br>

>  sysctl -p<br>

> fs.aio-max-nr = 1048576<br>

> fs.aio-max-nr = 655360<br>

> fs.inotify.max_user_instances = 8192<br>

> kernel.pty.max = 16120<br>

> kernel.randomize_va_space = 1<br>

> kernel.shmall = 4294967296<br>

> kernel.shmmax = 990896795648<br>

> net.ipv4.conf.all.arp_announce = 2<br>

> net.ipv4.conf.all.arp_filter = 1<br>

> net.ipv4.conf.all.arp_ignore = 1<br>

> net.ipv4.conf.all.rp_filter = 1<br>

> net.ipv4.conf.default.accept_source_route = 0<br>

> net.ipv4.conf.default.arp_filter = 1<br>

> net.ipv4.conf.default.rp_filter = 1<br>

> net.ipv4.ip_forward = 1<br>

> net.ipv4.ip_local_port_range = 5000 65535<br>

> net.ipv4.ip_nonlocal_bind = 0<br>

> net.ipv4.ip_no_pmtu_disc = 0<br>

> net.ipv4.tcp_tw_reuse = 1<br>

> vm.hugepages_treat_as_movable = 0<br>

> vm.hugetlb_shm_group = 128<br>

> vm.nr_hugepages = 250<br>

> vm.nr_hugepages_mempolicy = 250<br>

> vm.overcommit_memory = 0<br>

> vm.swappiness = 0<br>

> vm.vfs_cache_pressure = 150<br>

> vm.dirty_ratio = 10<br>

> vm.dirty_background_ratio = 5<br>

> kernel.hung_task_timeout_secs = 0<br>

> sysctl: cannot stat /proc/sys/net/core/rmem_max: No such file or directory<br>

> sysctl: cannot stat /proc/sys/net/core/wmem_max: No such file or directory<br>

> sysctl: cannot stat /proc/sys/net/core/rmem_default: No such file or<br>

> directory<br>

> sysctl: cannot stat /proc/sys/net/core/wmem_default: No such file or<br>

> directory<br>

> net.ipv4.tcp_rmem = 10240 87380 10485760<br>

> net.ipv4.tcp_wmem = 10240 87380 10485760<br>

> sysctl: cannot stat /proc/sys/net/ipv4/udp_rmem_min: No such file or<br>

> directory<br>

> sysctl: cannot stat /proc/sys/net/ipv4/udp_wmem_min: No such file or<br>

> directory<br>

> sysctl: cannot stat /proc/sys/net/ipv4/udp_mem: No such file or directory<br>

> sysctl: cannot stat /proc/sys/net/ipv4/tcp_mem: No such file or directory<br>

> sysctl: cannot stat /proc/sys/net/core/optmem_max: No such file or directory<br>

> net.core.somaxconn = 65535<br>

> sysctl: cannot stat /proc/sys/net/core/netdev_max_backlog: No such file or<br>

> directory<br>

> fs.file-max = 500000<br>

> <br>

> <br>

> On Sat, May 25, 2019 at 9:28 PM Saint Michael <<a href="mailto:venefax@gmail.com" target="_blank">venefax@gmail.com</a>> wrote:<br>

> <br>

> > Thanks<br>

> > Finally some help!<br>

> ><br>

> > On Sat, May 25, 2019 at 9:07 PM Stéphane Graber <<a href="mailto:stgraber@ubuntu.com" target="_blank">stgraber@ubuntu.com</a>><br>

> > wrote:<br>

> ><br>

> >> On Sat, May 25, 2019 at 02:02:59PM -0400, Saint Michael wrote:<br>

> >> > Thanks to all. I am sorry I touched a heated point. For me using<br>

> >> > hard-virtualization for Linux apps is dementia. It should be kept only<br>

> >> for<br>

> >> > Windows VMs.<br>

> >> > For me, the single point of using LXC is to be able to redeploy a<br>

> >> complex<br>

> >> > app from host to host in a few minutes. I use one-host->one-Container.<br>

> >> So<br>

> >> > what is the issue of giving all power to the containers?<br>

> >> ><br>

> >> > On Sat, May 25, 2019 at 1:56 PM jjs - mainphrame <<a href="mailto:jjs@mainphrame.com" target="_blank">jjs@mainphrame.com</a>><br>

> >> wrote:<br>

> >> ><br>

> >> > > Given the developers stance, perhaps a temporary workaround is in<br>

> >> order,<br>

> >> > > e.g. ssh-key root login to physical host e.g. "ssh <host> sysctl<br>

> >> > > key=value..."<br>

> >> > ><br>

> >> > > Jake<br>

> >> > ><br>

> >> > > On Mon, May 20, 2019 at 9:25 AM Saint Michael <<a href="mailto:venefax@gmail.com" target="_blank">venefax@gmail.com</a>><br>

> >> wrote:<br>

> >> > ><br>

> >> > >> I am trying to use sysctl -p inside an LXC container and it says<br>

> >> > >> read only file system<br>

> >> > >> how do I give my container all possible rights?<br>

> >> > >> Right now I have<br>

> >> > >><br>

> >> > >> lxc.mount.auto = cgroup:mixed<br>

> >> > >> lxc.tty.max = 10<br>

> >> > >> lxc.pty.max = 1024<br>

> >> > >> lxc.cgroup.devices.allow = c 1:3 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 1:5 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 5:1 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 5:0 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 4:0 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 4:1 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 1:9 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 1:8 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 136:* rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 5:2 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 254:0 rwm<br>

> >> > >> lxc.cgroup.devices.allow = c 10:137 rwm # loop-control<br>

> >> > >> lxc.cgroup.devices.allow = b 7:* rwm    # loop*<br>

> >> > >> lxc.cgroup.devices.allow = c 10:229 rwm #fuse<br>

> >> > >> lxc.cgroup.devices.allow = c 10:200 rwm #docker<br>

> >> > >> #lxc.cgroup.memory.limit_in_bytes = 92536870910<br>

> >> > >> lxc.apparmor.profile= unconfined<br>

> >> > >> lxc.cgroup.devices.allow= a<br>

> >> > >> lxc.cap.drop=<br>

> >> > >> lxc.cgroup.devices.deny=<br>

> >> > >> #lxc.mount.auto= proc:rw sys:ro cgroup:ro<br>

> >> > >> lxc.autodev= 1<br>

> >><br>

> >> Set:<br>

> >><br>

> >> lxc.mount.auto=<br>

> >> lxc.mount.auto=proc:rw sys:rw cgroup:rw<br>

> >> lxc.apparmor.profile=unconfined<br>

> >><br>

> >><br>

> >> This for a privileged container should allow all writes through /proc and<br>

> >> /sys.<br>

> >> As some pointed out, not usually a good idea for a container, but given<br>

> >> it's the only thing on your system, that may be fine.<br>

> >><br>

> >> --<br>

> >> Stéphane Graber<br>

> >> Ubuntu developer<br>

> >> <a href="http://www.ubuntu.com" rel="noreferrer" target="_blank">http://www.ubuntu.com</a><br>

> >> _______________________________________________<br>

> >> lxc-users mailing list<br>

> >> <a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>

> >> <a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>

> >><br>

> ><br>

<br>

> _______________________________________________<br>

> lxc-users mailing list<br>

> <a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>

> <a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>

<br>

<br>

-- <br>

Stéphane Graber<br>

Ubuntu developer<br>

<a href="http://www.ubuntu.com" rel="noreferrer" target="_blank">http://www.ubuntu.com</a><br>

_______________________________________________<br>

lxc-users mailing list<br>

<a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>

<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>

</blockquote></div>