OpenVZ容器-无法设置nf_conntrack_max

Question

我的问题是，主机节点和容器都有相同的"nf_conntrack_max“吗？

当我检查主机和容器时，结果如下：

宿主节点

[root@echo ~]# cat /proc/sys/net/netfilter/nf_conntrack_max
524288

OpenVZ容器

[root@delta ~]# cat /proc/sys/net/netfilter/nf_conntrack_max
65536

但是，当我试图更改容器上的值时，会遇到一些问题。

这就是我通常如何增加在主机节点上工作完善的值。

[root@echo ~]# echo 1524288 > /proc/sys/net/netfilter/nf_conntrack_max
[root@echo ~]#
[root@echo ~]# cat /proc/sys/net/netfilter/nf_conntrack_max
1524288

同样的事情在容器上运行。

[root@delta ~]# echo 1524288 > /proc/sys/net/netfilter/nf_conntrack_max
-bash: echo: write error: Invalid argument
[root@delta ~]# cat /proc/sys/net/netfilter/nf_conntrack_max
65536

我不明白的是，为什么我有一个问题，提高集装箱的价值。主机节点和容器都运行CentOS6.6，而我使用的是root。

编辑:我尝试过在容器中运行sysctl -w net.netfilter.nf_conntrack_max=1524288，但似乎仍然存在问题。

[root@delta ~]# /sbin/sysctl -a|grep -i nf_conntrack_max
net.netfilter.nf_conntrack_max = 65536
net.nf_conntrack_max = 65536
[root@delta ~]# sysctl -w net.netfilter.nf_conntrack_max=1524288
error: "Invalid argument" setting key "net.netfilter.nf_conntrack_max"

Answer 1

虽然主机节点和容器有独立的"nf_contract_max“值，但您无法将容器"nf_conntrack_max”引发高于主机节点"nf_conntrack_max“的容器。

例如，如果主机节点的最大值为65536，则无法将容器的最大值提高到65536以上。

只需提高主机节点的限制，然后提高容器的限制。

Answer 2

我想你只需要在HN中设置连接并重新启动CT。

Answer 3

在容器中，您可以使用以下方法检查限制：

# /sbin/sysctl -a|grep -i nf_conntrack_max
net.netfilter.nf_conntrack_max = 2600000
net.nf_conntrack_max = 2600000

(在容器中)设置：

sysctl -w net.netfilter.nf_conntrack_max=32384

但是，最大值是net.nf_conntrack_max值，无论如何，它通常从这个值开始。