RockyLinux服务资源限制配置（详解systemd与cgroup实现资源控制）

一、什么是cgroup和systemd？

cgroup 是Linux内核提供的一种机制，用于限制、记录和隔离进程组使用的物理资源（如CPU、内存、磁盘I/O等）。而 systemd 是现代Linux系统的初始化系统和服务管理器，它原生支持通过cgroup对服务进行资源限制，无需额外安装工具。

在RockyLinux 8/9中，默认使用的是 cgroup v2，功能更强大、接口更统一。

二、查看当前服务的资源使用情况

在设置限制前，建议先了解目标服务当前的资源消耗。可以使用以下命令：

# 查看某个服务（例如 nginx）的资源使用systemctl status nginx# 查看该服务所属的cgroup信息systemd-cgtop# 或者直接查看cgroup文件系统中的内存使用sudo cat /sys/fs/cgroup/system.slice/nginx.service/memory.current

三、为服务配置资源限制（以nginx为例）

假设我们要限制 nginx 服务最多使用 512MB 内存和 50% 的CPU资源。

步骤1：创建systemd drop-in目录

不要直接修改原始的service文件，而是使用 drop-in 方式覆盖配置：

sudo mkdir -p /etc/systemd/system/nginx.service.d/

步骤2：创建资源限制配置文件

在该目录下新建一个 override.conf 文件：

sudo tee /etc/systemd/system/nginx.service.d/override.conf <

提示： 常用的资源限制参数包括：
• MemoryMax：硬性内存上限
• MemoryHigh：软性内存上限（超过会触发回收但不杀进程）
• CPUQuota：CPU使用百分比
• TasksMax：最大进程/线程数
这些配置是实现 RockyLinux性能优化 的重要手段。

步骤3：重载配置并重启服务

# 重新加载systemd配置sudo systemctl daemon-reload# 重启nginx使限制生效sudo systemctl restart nginx

步骤4：验证限制是否生效

# 查看服务的cgroup设置systemctl show nginx --property=MemoryMax,CPUQuota,TasksMax# 输出示例：# MemoryMax=536870912# CPUQuotaPerSecUSec=500ms# TasksMax=512

四、常见应用场景

• 限制数据库服务（如MySQL）内存，防止OOM（Out-Of-Memory）导致系统崩溃。
• 限制测试环境中的Web服务CPU使用，避免影响生产服务。
• 通过 TasksMax 防止fork炸弹攻击，提升系统安全性。
• 为容器化应用（如Podman）设置默认资源上限，实现 systemd资源控制。

五、注意事项

• 资源限制过严可能导致服务异常退出或响应缓慢，请根据实际负载调整。
• 修改配置后务必执行 systemctl daemon-reload，否则更改不会生效。
• 可通过 journalctl -u nginx 查看服务日志，排查因资源限制导致的问题。
• RockyLinux 9 默认启用 cgroup v2，部分旧教程中的 v1 参数可能不适用。

六、总结

通过本文，你已经掌握了在RockyLinux中使用systemd和cgroup对服务进行资源限制的核心方法。这不仅是 cgroup配置 的基础应用，更是保障服务器高可用和安全的关键技能。

记住：合理的资源限制 = 稳定的系统 + 安全的运行环境 + 高效的 RockyLinux性能优化！

现在就去试试吧！你的服务器会感谢你～