CentOS ulimit对Tomcat有何限制
导读:CentOS 中 ulimit 对 Tomcat 的限制与影响 在 CentOS 上,ulimit 决定了运行 Tomcat 的系统用户(常见为 tomcat 或 www)在进程、文件句柄、栈等关键资源上的上限。若限制过低,容易出现 “To...
CentOS 中 ulimit 对 Tomcat 的限制与影响
在 CentOS 上,ulimit 决定了运行 Tomcat 的系统用户(常见为 tomcat 或 www)在进程、文件句柄、栈等关键资源上的上限。若限制过低,容易出现 “Too many open files”、“Resource temporarily unavailable”、线程创建失败、应用启动或压测异常等现象。常见受影响的资源与症状如下:
| 资源项 | 典型报错或影响 | 说明 |
|---|---|---|
| nofile(最大打开文件描述符) | 日志出现 java.io.IOException: Too many open files;新连接建立失败 | 每个进程可打开的文件/套接字数量受限;Tomcat 工作线程、连接器、日志、ClassLoader、JAR 打开文件均计入 |
| nproc(最大用户进程数) | 启动或扩容时报 fork: retry: No child processes 或 Resource temporarily unavailable;线程池无法扩容 | 决定用户可创建的进程/线程总数;Tomcat 线程、GC 辅助线程、部署/监控脚本均受影响 |
| stack(栈大小) | 线程创建失败或 StackOverflowError | 单个线程栈上限;线程数多时总栈占用会放大 |
| 其他(如 core、memlock 等) | 无法生成 core、锁定内存失败等 | 影响故障诊断与内存锁定能力 |
上述现象与 nofile/nproc 配置不足高度相关,是生产环境最常见两类限制。
生效范围与优先级
- 作用对象:ulimit 是“按登录会话/进程”生效的,对以某用户身份运行的 Tomcat 进程继承生效。直接在终端执行 ulimit 仅对当前会话有效。
- 配置优先级与覆盖:系统会先读取 /etc/security/limits.d/ 下的文件,再读取 /etc/security/limits.conf;同名条目后者可能被前者覆盖。在 CentOS 7 上,普通用户的 nproc 常被 /etc/security/limits.d/20-nproc.conf 中的规则(如“* soft nproc 4096”)覆盖,导致即使 limits.conf 设置了更高值也不生效。
- 会话与 PAM:通过服务管理器(如 systemd)启动时,是否应用 limits 取决于服务单元的 LimitNOFILE/LimitNPROC 等指令;若未显式设置,可能沿用登录会话的 limits。部分系统需要在 /etc/pam.d/login 加载 pam_limits.so 以启用登录级限制。
- 容器场景:在 Docker 中,容器内的 ulimit 由宿主机与容器运行时共同决定;若启动脚本(如 setenv.sh)设置了过低的 ulimit -u,即使宿主机较宽裕也会在容器内受限。
如何查看与修改
- 查看当前会话限制(以运行 Tomcat 的用户执行):
- 查看全部:ulimit -a
- 查看句柄:ulimit -n
- 查看进程数:ulimit -u
- 永久生效(系统级):
- 编辑 /etc/security/limits.conf(示例为 tomcat 用户):
- tomcat soft nofile 65535
- tomcat hard nofile 65535
- tomcat soft nproc 40960
- tomcat hard nproc 40960
- 在 /etc/security/limits.d/20-nproc.conf 中覆盖普通用户 nproc(避免被 4096 默认值限制):
- tomcat soft nproc 40960
- 确保 PAM 启用 limits:检查 /etc/pam.d/login 包含 session required pam_limits.so
- 重新登录 tomcat 用户后验证:su - tomcat -c “ulimit -a”
- 编辑 /etc/security/limits.conf(示例为 tomcat 用户):
- systemd 服务方式(若通过 systemd 管理 Tomcat):
- 在单元文件 [Service] 段设置:
- LimitNOFILE=65535
- LimitNPROC=40960
- 执行:systemctl daemon-reexec & & systemctl restart tomcat
- 在单元文件 [Service] 段设置:
- 容器方式:
- 启动容器时显式提升:docker run --ulimit nofile=65535:65535 --ulimit nproc=40960:40960 …
- 或在容器内 setenv.sh 中设置:ulimit -n 65535;ulimit -u 40960
- 系统级总上限(可选,防止系统层面瓶颈):
- 查看:cat /proc/sys/fs/file-max
- 临时提升:echo 6553560 > /proc/sys/fs/file-max
- 永久提升:在 /etc/sysctl.conf 加入 fs.file-max=6553560 并执行 sysctl -p
快速排查清单
- 确认以正确用户运行:ps -eo pid,user,cmd | grep tomcat;切换到该用户后执行 ulimit -a 核对 nofile/nproc 是否符合预期。
- 检查是否被 limits.d 覆盖:cat /etc/security/limits.d/*.conf | grep -E “nproc|nofile”;必要时在 20-nproc.conf 中对 tomcat 放宽。
- 若通过 systemd 管理:systemctl show tomcat | grep -i limit;必要时在单元文件显式设置并重启。
- 容器场景:docker inspect < 容器> | grep -A3 Ulimits;确认宿主机与容器运行时配置一致。
- 观察实际资源使用与泄漏:lsof -p < tomcat_pid> | wc -l;或统计系统占用 lsof -n | awk ‘{ print $2} ’ | sort | uniq -c | sort -nr;必要时排查连接/流未关闭导致的句柄泄漏。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: CentOS ulimit对Tomcat有何限制
本文地址: https://pptw.com/jishu/772275.html