<div dir="ltr"><div class="gmail_default" style="font-size:small">I am fine with having full interaction with the host. The host does not do anything, it is like a glove for my app, which uses UDP very intensely, like 500 Mbits per second. I need to fine-tune all its parameters.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 25, 2019 at 9:52 PM Stéphane Graber <<a href="mailto:stgraber@ubuntu.com">stgraber@ubuntu.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">So the missing ones there's really nothing you can do about, though<br>
normally that shouldn't cause sysctl application to fail as it's<br>
somewhat common for systems to have a different set of sysctls.<br>
<br>
In this case, it's because the network namespace is filtering some of them.<br>
<br>
If your container doesn't need isolated networking, in theory using the<br>
host namespace for the network would cause those to show back up, but<br>
note that sharing network namespace with the host may have some very<br>
weird side effects (such as systemd in the container interacting with<br>
the host's).<br>
<br>
On Sat, May 25, 2019 at 09:36:25PM -0400, Saint Michael wrote:<br>
> some things do not work inside the container<br>
>  sysctl -p<br>
> fs.aio-max-nr = 1048576<br>
> fs.aio-max-nr = 655360<br>
> fs.inotify.max_user_instances = 8192<br>
> kernel.pty.max = 16120<br>
> kernel.randomize_va_space = 1<br>
> kernel.shmall = 4294967296<br>
> kernel.shmmax = 990896795648<br>
> net.ipv4.conf.all.arp_announce = 2<br>
> net.ipv4.conf.all.arp_filter = 1<br>
> net.ipv4.conf.all.arp_ignore = 1<br>
> net.ipv4.conf.all.rp_filter = 1<br>
> net.ipv4.conf.default.accept_source_route = 0<br>
> net.ipv4.conf.default.arp_filter = 1<br>
> net.ipv4.conf.default.rp_filter = 1<br>
> net.ipv4.ip_forward = 1<br>
> net.ipv4.ip_local_port_range = 5000 65535<br>
> net.ipv4.ip_nonlocal_bind = 0<br>
> net.ipv4.ip_no_pmtu_disc = 0<br>
> net.ipv4.tcp_tw_reuse = 1<br>
> vm.hugepages_treat_as_movable = 0<br>
> vm.hugetlb_shm_group = 128<br>
> vm.nr_hugepages = 250<br>
> vm.nr_hugepages_mempolicy = 250<br>
> vm.overcommit_memory = 0<br>
> vm.swappiness = 0<br>
> vm.vfs_cache_pressure = 150<br>
> vm.dirty_ratio = 10<br>
> vm.dirty_background_ratio = 5<br>
> kernel.hung_task_timeout_secs = 0<br>
> sysctl: cannot stat /proc/sys/net/core/rmem_max: No such file or directory<br>
> sysctl: cannot stat /proc/sys/net/core/wmem_max: No such file or directory<br>
> sysctl: cannot stat /proc/sys/net/core/rmem_default: No such file or<br>
> directory<br>
> sysctl: cannot stat /proc/sys/net/core/wmem_default: No such file or<br>
> directory<br>
> net.ipv4.tcp_rmem = 10240 87380 10485760<br>
> net.ipv4.tcp_wmem = 10240 87380 10485760<br>
> sysctl: cannot stat /proc/sys/net/ipv4/udp_rmem_min: No such file or<br>
> directory<br>
> sysctl: cannot stat /proc/sys/net/ipv4/udp_wmem_min: No such file or<br>
> directory<br>
> sysctl: cannot stat /proc/sys/net/ipv4/udp_mem: No such file or directory<br>
> sysctl: cannot stat /proc/sys/net/ipv4/tcp_mem: No such file or directory<br>
> sysctl: cannot stat /proc/sys/net/core/optmem_max: No such file or directory<br>
> net.core.somaxconn = 65535<br>
> sysctl: cannot stat /proc/sys/net/core/netdev_max_backlog: No such file or<br>
> directory<br>
> fs.file-max = 500000<br>
> <br>
> <br>
> On Sat, May 25, 2019 at 9:28 PM Saint Michael <<a href="mailto:venefax@gmail.com" target="_blank">venefax@gmail.com</a>> wrote:<br>
> <br>
> > Thanks<br>
> > Finally some help!<br>
> ><br>
> > On Sat, May 25, 2019 at 9:07 PM Stéphane Graber <<a href="mailto:stgraber@ubuntu.com" target="_blank">stgraber@ubuntu.com</a>><br>
> > wrote:<br>
> ><br>
> >> On Sat, May 25, 2019 at 02:02:59PM -0400, Saint Michael wrote:<br>
> >> > Thanks to all. I am sorry I touched a heated point. For me using<br>
> >> > hard-virtualization for Linux apps is dementia. It should be kept only<br>
> >> for<br>
> >> > Windows VMs.<br>
> >> > For me, the single point of using LXC is to be able to redeploy a<br>
> >> complex<br>
> >> > app from host to host in a few minutes. I use one-host->one-Container.<br>
> >> So<br>
> >> > what is the issue of giving all power to the containers?<br>
> >> ><br>
> >> > On Sat, May 25, 2019 at 1:56 PM jjs - mainphrame <<a href="mailto:jjs@mainphrame.com" target="_blank">jjs@mainphrame.com</a>><br>
> >> wrote:<br>
> >> ><br>
> >> > > Given the developers stance, perhaps a temporary workaround is in<br>
> >> order,<br>
> >> > > e.g. ssh-key root login to physical host e.g. "ssh <host> sysctl<br>
> >> > > key=value..."<br>
> >> > ><br>
> >> > > Jake<br>
> >> > ><br>
> >> > > On Mon, May 20, 2019 at 9:25 AM Saint Michael <<a href="mailto:venefax@gmail.com" target="_blank">venefax@gmail.com</a>><br>
> >> wrote:<br>
> >> > ><br>
> >> > >> I am trying to use sysctl -p inside an LXC container and it says<br>
> >> > >> read only file system<br>
> >> > >> how do I give my container all possible rights?<br>
> >> > >> Right now I have<br>
> >> > >><br>
> >> > >> lxc.mount.auto = cgroup:mixed<br>
> >> > >> lxc.tty.max = 10<br>
> >> > >> lxc.pty.max = 1024<br>
> >> > >> lxc.cgroup.devices.allow = c 1:3 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 1:5 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 5:1 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 5:0 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 4:0 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 4:1 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 1:9 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 1:8 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 136:* rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 5:2 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 254:0 rwm<br>
> >> > >> lxc.cgroup.devices.allow = c 10:137 rwm # loop-control<br>
> >> > >> lxc.cgroup.devices.allow = b 7:* rwm    # loop*<br>
> >> > >> lxc.cgroup.devices.allow = c 10:229 rwm #fuse<br>
> >> > >> lxc.cgroup.devices.allow = c 10:200 rwm #docker<br>
> >> > >> #lxc.cgroup.memory.limit_in_bytes = 92536870910<br>
> >> > >> lxc.apparmor.profile= unconfined<br>
> >> > >> lxc.cgroup.devices.allow= a<br>
> >> > >> lxc.cap.drop=<br>
> >> > >> lxc.cgroup.devices.deny=<br>
> >> > >> #lxc.mount.auto= proc:rw sys:ro cgroup:ro<br>
> >> > >> lxc.autodev= 1<br>
> >><br>
> >> Set:<br>
> >><br>
> >> lxc.mount.auto=<br>
> >> lxc.mount.auto=proc:rw sys:rw cgroup:rw<br>
> >> lxc.apparmor.profile=unconfined<br>
> >><br>
> >><br>
> >> This for a privileged container should allow all writes through /proc and<br>
> >> /sys.<br>
> >> As some pointed out, not usually a good idea for a container, but given<br>
> >> it's the only thing on your system, that may be fine.<br>
> >><br>
> >> --<br>
> >> Stéphane Graber<br>
> >> Ubuntu developer<br>
> >> <a href="http://www.ubuntu.com" rel="noreferrer" target="_blank">http://www.ubuntu.com</a><br>
> >> _______________________________________________<br>
> >> lxc-users mailing list<br>
> >> <a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>
> >> <a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>
> >><br>
> ><br>
<br>
> _______________________________________________<br>
> lxc-users mailing list<br>
> <a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>
> <a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>
<br>
<br>
-- <br>
Stéphane Graber<br>
Ubuntu developer<br>
<a href="http://www.ubuntu.com" rel="noreferrer" target="_blank">http://www.ubuntu.com</a><br>
_______________________________________________<br>
lxc-users mailing list<br>
<a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>
<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br>
</blockquote></div>