Nginx 容器 setrlimit(RLIMIT_NOFILE) 报错问题分析与解决

问题描述

• 现象：

  使用 Nginx 1.28 容器启动时，日志出现：

setrlimit(RLIMIT_NOFILE, 51200) failed (1: Operation not permitted)

• 影响：

  Nginx 无法提高文件描述符限制，可能导致高并发场景下 Too many open files 报错。

为什么 1.24 正常，1.28 报错？

• 原因：

  • Nginx 1.28 官方镜像或构建脚本中，新增了对 worker_rlimit_nofile 的检查或 setrlimit() 调用。

  • Docker 默认容器不具备修改 ulimit 的能力，除非：

    • 使用 –cap-add=SYS_RESOURCE

    • 或 –privileged 模式

  • Nginx 1.24 及更早版本未执行该操作，因此未报错。

• 关键点：

  这是权限问题，不是 Docker/Nginx Bug，而是 Nginx 1.28 行为改变。

触发条件

1. Nginx 配置中启用了：

worker_rlimit_nofile 51200;

2. 容器未赋予 SYS_RESOURCE 能力。

解决方案:jisongbin的自动化脚本写法

✅ 方案 1：修改 Docker 启动参数（推荐）

# === 生成启动命令（绝对路径） ===
DOCKER_CMD="docker run -d \
  --restart unless-stopped \
  --name $CONTAINER_NAME \
  --hostname $HOSTNAME_NAME \
  --ulimit nofile=65536:65536 \
  --cap-add=SYS_RESOURCE \
  -v $CONTAINER_DIR/Sites:/www/wwwroot \
  -v $CONTAINER_DIR/MySQL:/www/server/data \
  -v $CONTAINER_DIR/Backup:/www/backup \
  $IMAGE_NAME"
  

• –ulimit nofile=65536:65536：允许更多文件描述符。

• –cap-add=SYS_RESOURCE：允许 setrlimit()。

验证：

docker exec -it nginx-1.28 bash
ulimit -n   # 应输出 65536

✅ 方案 2：修改 Nginx 配置

如果你无法调整 Docker 权限，可以注释 worker_rlimit_nofile，避免 Nginx 调用 setrlimit()。

✅ 方案 3：回退版本

使用 nginx:1.24 镜像，避免 Nginx 尝试提升 ulimit。

为什么突然出现？

• 近期 Nginx 1.28 镜像更新，行为变更。

• 如果之前使用 本地缓存的旧镜像，不会报错；一旦重新拉取 1.28 新版，就会触发问题。

后续优化

• 脚本化：在自动启动脚本中检测 IMAGE_NAME 是否包含 nginx，如果是 → 自动加：

--ulimit nofile=65536:65536 --cap-add=SYS_RESOURCE

• 统一处理：记录 ulimit 值到日志，防止再次踩坑。

分享总结

• 根因：Nginx 1.28 新增 setrlimit() 调用。

• 解决：容器加 –cap-add SYS_RESOURCE + –ulimit nofile。

• 经验：升级镜像时检查 ENTRYPOINT 或源码改动，特别是资源限制相关。