首页
/ Containerd项目中runc shim的TTY泄漏问题分析

Containerd项目中runc shim的TTY泄漏问题分析

2025-05-12 12:56:03作者:薛曦旖Francesca

问题背景

在Containerd容器运行时环境中,当通过CRI接口创建带有TTY终端的容器时,runc shim会出现终端文件描述符泄漏的问题。这个问题会导致系统可用的TTY资源逐渐耗尽,最终影响新容器的创建和运行。

技术原理

TTY(Teletypewriter)是Linux系统中用于终端输入输出的重要机制。在容器环境中,当配置tty: true时,runc会为容器创建一个伪终端(pseudo-terminal),由一对主从设备组成:

  1. 主设备(ptmx): 由shim进程持有,用于控制终端
  2. 从设备(pts): 传递给容器进程作为控制终端

在正常的生命周期中,当容器停止时,shim应该正确关闭这些终端资源。然而,当前实现中存在泄漏问题,导致主设备文件描述符未被正确释放。

问题表现

通过以下步骤可以重现该问题:

  1. 创建一个Pod和带有TTY的容器
  2. 启动容器后检查shim进程持有的ptmx文件描述符数量
  3. 停止并删除容器后再次检查
  4. 重复上述过程会发现ptmx文件描述符数量持续增加

使用lsof -p <shim-pid> | grep ptmx命令可以观察到泄漏的文件描述符。

影响范围

该问题主要影响以下场景:

  1. 使用CRI接口(如通过crictl或Kubernetes)创建的容器
  2. 配置了tty: true的容器
  3. 频繁创建和销毁带有TTY的容器

在长时间运行的系统中,这个问题可能导致/dev/pts设备耗尽,错误表现为"无法分配伪终端"。

临时解决方案

目前可以通过以下方式缓解问题:

  1. 增加系统最大TTY数量限制:
    echo 10000 > /proc/sys/kernel/pty/max
    
  2. 定期重启受影响的shim进程
  3. 避免不必要的TTY配置

深入分析

问题的根本原因在于runc shim在处理容器生命周期时,未能正确清理终端资源。具体来说:

  1. 当容器创建时,shim会调用openpty创建主从终端对
  2. 容器运行时,这些终端保持打开状态
  3. 容器停止时,shim应该调用close释放主设备文件描述符
  4. 当前实现中,这个清理步骤可能被跳过或未能正确执行

技术影响

TTY泄漏不仅会导致资源耗尽,还可能带来以下问题:

  1. 系统性能下降:每个泄漏的文件描述符都会占用内核资源
  2. 安全风险:未关闭的文件描述符可能被恶意利用
  3. 监控干扰:过多的文件描述符会影响系统监控工具的正常工作

最佳实践建议

在等待官方修复的同时,建议用户:

  1. 监控系统中/proc/sys/kernel/pty/nr的值,及时发现泄漏
  2. 为关键业务容器配置资源限制
  3. 考虑使用非TTY模式运行不需要交互的容器
  4. 定期检查并清理异常的shim进程

总结

Containerd中runc shim的TTY泄漏问题是一个典型的资源管理缺陷,反映了容器运行时在复杂生命周期管理中的挑战。理解这个问题不仅有助于当前系统的稳定运行,也为深入理解容器技术栈提供了宝贵案例。随着容器技术的普及,这类资源管理问题值得开发者和运维人员高度关注。

登录后查看全文
热门项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
139
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
923
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
74
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8