下面总结了一下，在工作中使用 ulimit的一些注意事项。

1、ulimit的生效规则

在设置进程的资源限制的时候，需要同时设置软限制和硬限制，超出软规则的限制会进行警告，但是不能超过硬规则的限制。

一般线上服务器应用，推荐在/etc/security/limits.conf文件中进行资源的设置，设置完成后，要保证设置生效，需要退出当然ssh登录的终端，再次登录后，ulimit资源设置就已经生效了，但是这还没有结束，要让系统上的应用也能生效的话，必须在新的终端下重启应用系统服务，这样，之前的设置才能生效，这个非常重要。

需要注意的是，如果你在命令行执行了类似下面的设置，那么，仅仅在当前shell环境下是有效的，退出这个shell后，所有设置将失效。

[root@tomcatserver ~]#ulimit -n 1000000
[root@tomcatserver ~]#ulimit -u unlimited

因此，推荐将配置写到limits.conf配置文件中。

2、nofile与noproc

上面我们已经介绍了，nofile用来设置最大打开句柄数、noproc用来设置最大用户进程数，这两个优化选项是最经常用到的，对待这两个参数的设置，需要特别注意的是：

nofile不能设置过大，比如设置为unlimited就会报错，看如下操作：

[root@centos7.9 ~]# ulimit -n unlimited

-bash: ulimit: open files: 无法修改 limit 值: 不允许的操作

这个问题是由内核导致的，在linux kernel 2.6.25之前通过ulimit -n设置每个进程的最大打开文件句柄数不能超过1024*1024，也就是1048576，要提高这个值，只能重新编译内核，而在linux kernel 2.6.25之后，内核提供了一个sys接口可以修改这个最大值，可以通过修改/proc/sys/fs/nr_open的值来动态提高最大打开文件句柄数。

看下面的一个操作过程：

[root@centos7.9 ~]# cat /proc/sys/fs/nr_open
1048576
[root@centos7.9 ~]# ulimit -n 1048576
[root@centos7.9 ~]# ulimit -n
1048576
[root@centos7.9 ~]# ulimit -n 1048577

-bash: ulimit: open files: 无法修改 limit 值: 不允许的操作

[root@centos7.9 ~]# echo 1100000 > /proc/sys/fs/nr_open
[root@centos7.9 ~]# ulimit -n 1048577
[root@centos7.9 ~]# ulimit -n
1048577

上面这个操作是在centos7.9系统上完成的，可以看出，修改/proc/sys/fs/nr_open值后，可以扩展最大打开文件句柄数的大小了。

下面再说说noproc这个选项，nproc是操作系统级别对每个用户创建的进程数的限制,在Linux下运行多线程时,每个线程的实现其实是一个轻量级的进程，怎么知道一个用户创建了多少个进程呢，默认的ps命令是不显示全部进程的，需要‘-L' 才能看到所有的进程。

例如，要查看系统所有用户创建的进程数，可使用下面命令组合：

[root@centos7.9 ~]#ps h -Led -o user | sort | uniq -c | sort -n
6 zabbix
17 gdm
69 dbms
97 adhost
126 mysql
149 ccvsdata
200 dvtms
870 root

根据输出，可以看到当前每个用户启动了多少个进程，如果某个用户启动了过多的进程，就需要注意了。

那么上面时候需要修改这个nproc呢，根据经验，当应用系统日志出现以下情况中的一种时,需要考虑提高nproc的值:

(1). Cannot create GC thread. Out of system resources
(2). java.lang.OutOfMemoryError: unable to create new native thread

3、CENTOS/RHEL7中ulimit资源限制问题

我们知道，在CENTOS/RHEL7以后的版本中，物理是系统，还是服务的管理机制都发生了很大变化，主要是使用Systemd替代了之前的SysV，之前介绍的 /etc/security/limits.conf文件仍然可以使用，但是它的作用范围缩小了很多，在CENTOS/RHEL7中这个文件只适用于通过PAM认证登录用户的资源限制，而对于systemd的service的资源限制不生效，所谓systemd的service资源，其实就是在/usr/lib/systemd/system目录下的服务维护管理脚本，这些脚本都已.service结尾，比如，通过yum方式安装了一个nginx服务，那么默认管理nginx服务的脚本为/usr/lib/systemd/system/nginx.service，下面我们来看看通过此脚本来启动nginx服务后，默认的ulimit设置是否生效，请看下面的操作过程：

首先，通过ulimit -a查看系统资源设置，如下图所示，重点看open files 和max user processes两项，可以看到设置的值为655360,已经很大，这是已经优化好的值。

接着，通过systemctl命令启动nginx服务，然后查看nginx某个进程的limit值，如下图所示：

从图中可以看出，上面ulimit的设置并没有在nginx进程中体现出来，也就是，systemctl启动的nginx对limit的设置不生效.

为什么会这样呢，再次打开/etc/security/limits.conf文件，发现了如下内容：

#It does not affect resource limits of the system services.

由此可知，limits.conf文件对systemctl启动的服务是不生效的。

对于systemd service的资源设置，则需修改全局配置，CENTOS/RHEL7版本中，全局配置文件分别是/etc/systemd/system.conf和/etc/systemd/user.conf，同时也会加载/etc/systemd/system.conf.d/.conf和/etc/systemd/user.conf.d/.conf两个对应目录中的所有.conf文件。其中，system.conf是系统全局使用的配置文件，user.conf是用户级别使用的配置文件。

对于一般的sevice，可使用system.conf中的配置即可，也就是在/etc/systemd/system.conf文件中添加如下内容：

DefaultLimitNOFILE=655360
DefaultLimitNPROC=655360

需要注意，修改了system.conf后，需要重启系统才会生效。

针对单个Service，也可以直接修改配置文件，并马上生效，这里以nginx为例，编辑/usr/lib/systemd/system/nginx.service文件，找到[Service]段，添加如下配置：

[Service]
LimitNOFILE=655360
LimitNPROC=655360

要让配置生效，需要运行如下命令：

[root@centos7.9 ~]# systemctl daemon-reload
[root@centos7.9 ~]# systemctl restart nginx.service

最后，再查看一下nginx某个进程的limit值，如下图所示：

从图中可以看出,nginx进程对应的文件句柄数和最大进程数设置已经生效.