本節包含部署 Docker 容器的一些提示和最佳實務:
NetIQ 建議您為容器設定 CPU 使用量限制。可透過在 docker run 指令中使用 --cpuset-cpus 旗標來指定此設定。
若要設定容器的重新啟動規則,請在 docker run 指令中使用 --restart 旗標。建議選擇故障時重新啟動規則,並將重新啟動嘗試次數限制為 5 次。
若要設定容器可使用的記憶體容量限制,請在 docker run 指令中使用 --memory 旗標。
如果您要備份已部署驅動程式的追蹤檔案,可將追蹤檔案放到 /config/idm/ 下,或將追蹤檔案手動複製到磁碟區資料夾中。
若要設定在任意時間點允許執行的程序數限制,請在 docker run 指令中使用 --pids-limit 旗標。建議將 PID 值限制為 300。
對於 Identity Manager 引擎容器,如果您要檢視位於 /proc 檔案系統 /process 目錄下的 environ 檔案,請在 docker run 指令中使用 --cap-add=SYS_PTRACE 旗標。系統預設會限制大部分特權,只會啟用必需的特權。如需詳細資訊,請參閱 Docker 文件。
確定協力廠商 jar 檔案為已掛接的磁碟區,這樣每次啟動容器時這些檔案才可用。例如,如果容器的 /opt/netiq/idm/apps/tomcat/lib 目錄中存在 ojdbc.jar,則您必須使用以下指令對 jar 檔案進行磁碟區掛接操作:
-v /host/ojdbc.jar:/opt/netiq/idm/apps/tomcat/lib/ojdbc.jar
例如,可執行包含上述所有引數的以下範例指令來部署容器:
docker run -itd --cap-add=SYS_PTRACE --pids-limit<調整容器 pid 限制> --memory=<容器可使用的最大記憶體容量> --restart=on-failure:5 --cpuset-cpus=<允許在其中執行的 CPU> --network=<將容器連接至網路> -v <繫結掛接磁碟區> --name=<指定容器的名稱> <影像名稱>