本节包含部署 Docker 容器的一些提示和最佳实践:
NetIQ 建议您为容器设置 CPU 使用量限制。可通过在 docker run 命令中使用 --cpuset-cpus 标志来指定此设置。
要设置容器的重启动策略,请在 docker run 命令中使用 --restart 标志。建议选择故障时重启动策略,并将重启动尝试次数限制为 5 次。
要设置容器可使用的内存量限制,请在 docker run 命令中使用 --memory 标志。
如果您要备份已部署驱动程序的跟踪文件,可将跟踪文件放到 /config/idm/ 下,或将跟踪文件手动复制到卷文件夹中。
要设置在任意时间点允许运行的进程数限制,请在 docker run 命令中使用 --pids-limit 标志。建议将 PID 值限制为 300。
对于 Identity Manager 引擎容器,如果您要查看位于 /proc 文件系统 /process 目录下的 environ 文件,请在 docker run 命令中使用 --cap-add=SYS_PTRACE 标志。系统默认会限制大部分特权,只会启用必需的特权。有关详细信息,请参见 Docker 文档。
确保第三方 jar 文件为已装入的卷,这样每次启动容器时这些文件才可用。例如,如果容器的 /opt/netiq/idm/apps/tomcat/lib 目录中存在 ojdbc.jar,则您必须使用以下命令对 jar 文件进行卷装入操作:
-v /host/ojdbc.jar:/opt/netiq/idm/apps/tomcat/lib/ojdbc.jar
例如,可运行包含上述所有自变量的以下示例命令来部署容器:
docker run -itd --cap-add=SYS_PTRACE --pids-limit<调整容器 pid 限制> --memory=<容器可使用的最大内存量> --restart=on-failure:5 --cpuset-cpus=<允许在其中执行的 CPU> --network=<将容器连接到网络> -v <绑定装入卷> --name=<指派容器的名称> <映像名称>