问题[virtuozzo](server)

最近我租了一个 VPS 作为私人游乐场和学习 docker。我想在 nginx-proxy 和 docker-letsencrypt-nginx-proxy-companion后面托管一些网络服务。

设置

服务器运行 Ubuntu 18.04.4 LTS，Docker版本 19.03.6，构建 369ce74a3c，docker-compose版本 1.17.1，构建未知。

4GB vRAM，4vCores（硬件在 Intel Xeon 上运行）

问题

一旦我想运行超过 8 个容器，我就会遇到错误。有一些不同的错误，我不能特别说明其中哪一个出现的时间：

• OCI runtime create failed例如，当尝试使用 mysql 将 joomla 作为 compose-project 启动时：

ERROR: for joomla_joomladb_1  Cannot start service joomladb: OCI runtime create failed:
unable to retrieve OCI runtime error (open /run/containerd/io.containerd.runtime.v1.linux/moby/741c[...]6e3/log.json:
no such file or directory): fork/exec /usr/sbin/runc: resource temporarily unavailable: unknown

• socket reset

ERROR: for joomla_joomladb_1  Cannot start service joomladb: read unix @->@/containerd-shim/24f42b8[...]32fa1.sock:
read: connection reset by peer: unknown

• pthread_create failed: Resource temporarily unavailable我现在没有任何相应的日志。如果错误再次发生，我将在此处发布它们。但一条线似乎总是parent id not found
• 分叉失败。当出现这个错误时，我不能再做任何事情了。看下一点：

此外，与此相关的是，有时我在输入任何命令时会在我的 shell 上遇到一些奇怪的错误。当服务器处于这种状态时，我既不能 su 到 root 也不能​​根据命令行重新启动。你可以看到我试图sudo在这张图片中输入：任何命令的错误。甚至关机或重启

我试过的

• 我在 Github 和其他一些人上看到了这份报告，并提到了机器上的最大任务限制。我已经将它设置为更高的音量，infinity但所有这些似乎都没有帮助。（我曾经将其更改/etc/systemd/system.conf为 per systemctl edit docker.service）。

$ systemctl show --property=DefaultTasksMax
 DefaultTasksMax=4659
$ systemctl status docker
...
  Tasks: 52
...

• 我在我的笔记本电脑上安装了完全相同的系统（除了虚拟化软件——VPS 在 Virtuozzo 上运行，我在本地使用 Quemu 和 virt-manager）——一切都按预期工作！

• 我尝试启动的任何容器都会出现问题。hello-world，其他撰写项目或已构建的项目...

• 我联系了我的托管服务提供商，也提到了上述问题，并表示他们不会限制任何使用。

我猜这被称为虚拟器内部的虚拟化（如果我错了请纠正我）。

根据我的研究，我发现您需要在 Virtuozzo 的硬件服务器上安装以下选项：

CONFIG_HOTPLUG_CPU=Y

是否可以在 Virtuozzo VE 中运行 VirtualBox——最好不在硬件节点上添加模块？

注意：这个问题仍未解决 - 答案已被自动接受。

我有一个 Debian Lenny VPS，它运行由 Parallels/Virtuozzo 虚拟化。目前，网络接口没有 IPv6 地址——这很好，因为我没有ip6tables配置。

但我假设，有一天我会醒来，ifconfig 会显示接口的 ipv6 地址——因为我无法控制内核或其模块——它们在托管公司的控制之下。这将使服务器完全容易受到来自 IPv6 地址的攻击。

禁用 IPv6（对于接口或整个主机）的最佳方法是什么？通常我会简单地禁用内核模块，但在这种情况下这是不可能的。

更新

也许我应该补充一点，我可以iptables正常使用一切（我是 VPS 上的 root），但由于 Virtuozzo 的工作方式（共享内核） ，我无法更改内核或加载内核模块。

lsmod总是什么都不返回。

我不能打电话ip6tables -L（它说我需要 insmod，或者必须升级内核）。

我不认为，改变/etc/modprobe.d/aliases会产生任何影响，或者是吗？

网络配置？

我想，也许我可以从 /etc/network/... 关闭 IPv6。这可能吗？

我们的服务器内存不好，导致长时间停机，而他们发现了这一点，我们面向客户端的应用程序不得不停机一段时间。我们正在想出一个即时故障转移的解决方案，但不确定最具成本效益的方法是什么。Windows 服务器集群是最好的方法吗？另请注意，如果这有什么不同，我们正在使用 Parallels Virtuozzo。我们发现 Parallels 有一个记录在案的方法来设置它，但它说它需要域控制器以及到共享存储的光纤连接，真的需要吗？

谢谢。

我正在考虑租用虚拟服务器（对我个人而言）。我目前正在查看的产品提供了 IMO 公平的定价、非常好的硬件等。唯一的问题是，我无法升级到比 2.6.9 更新的内核（运行 Debian Etch）。另外，我无法安装自己的内核模块。（服务器使用 Virtuozzo 运行，据我了解，它只是执行一些 chroot 而不是真正的虚拟化（？））

我想在上面运行 GlassFish、Postgres、Subversion、Trac 和其他一些东西。它还必须使用防火墙，并为 https 提供 OpenSSL。理想情况下，它还可以进行 AIO（异步 IO），这可以加快某些服务器 I/O。

我是否应该预期旧内核版本与我要安装的软件一起出现问题（我想使用该软件的当前版本）？我已经发现的一件事是，你不能用 iptables 做所有事情，因为一些内核模块丢失/东西没有内置到内核中。GlassFish v3 乍一看似乎运行良好。

我能够测试服务器几个小时。在那个时候安装我的整个设置是不可行的，但我可以说的是，它对于入门级虚拟服务器来说非常快，尤其是硬盘和网络性能（平均大约 400MBit/s）。因此，如果内核不会成为问题，我真的很想接受它。

谢谢，克里斯

PS 确切内核版本：2.6.9-023stab051.3-smp

编辑：

我可以期待重要的安全补丁被反向移植到该内核版本吗？

当垃圾邮件发送者使用他的数千台僵尸 PC 的僵尸网络以非常高的速度向随机不存在的地址 @example.com 发送垃圾邮件时，postfix 会耗尽我们的 VPS 提供商的资源限制来尝试处理它。具体来说，它耗尽了非 TCP 套接字的数量，VPS 将其限制为 900。我在 Virtuozzo linux VPS 上的 CentOS 5 上运行 postfix 2.3.3-2.1.el5_2。

/var/log/maillog says:
Feb 23 06:26:22 postfix/smtpd[3938]: warning: connect #1 to subsystem private/proxymap: Cannot allocate memory
Feb 23 06:26:22 postfix/smtpd[3936]: fatal: socket: Cannot allocate memory
Feb 23 06:26:48 postfix/qmgr[17702]: fatal: socket: Cannot allocate memory

由于字典攻击涉及数千个 IP，防火墙会有点困难。

VPS 提供商建议调整以下参数，但没有给出设置它们的建议：

max_idle = 100s (default)
max_use = 100 (default)

我发现另一个人对后缀和垃圾邮件字典攻击有同样的问题：

http://forums.vpslink.com/linux/394-you-hitting-socket-resource-limits-2.html#post5241

他变了：

default_process_limit from 100 (default) to 10

...这解决了问题，但引入了性能损失。

即使浏览了 postfix.org/TUNING%5FREADME.html 之后，我也不确定应该在这里安全地调整哪个参数 任何 postfix 专家都可以提供帮助吗？

我们有一个在 VPS 上运行的 rhel，我想把它带到我们的网络服务器上，一个 vmware esx。可能吗？任何建议都会很棒，谢谢！