systemd-oomd 杀错进程主因是配置未对齐内核行为、cgroup层级混乱或规则覆盖不全;需确保oom_score_adj写入生效、避免子进程继承失效、统一cgroup层级设置,并验证路径匹配、规则加载及PSI压力指标。
systemd-oomd 杀进程时优先级不生效或杀错,通常不是“随机误杀”,而是配置未对齐内核行为、cgroup 层级混乱、或规则覆盖不完整导致的。关键不在调高/降低数值,而在让 oom_score_adj 和 cgroup 策略真正被识别并执行。
确认 oom_score_adj 是否真正写入生效
很多情况下服务看似设置了 OOMScoreAdjust=-500,但实际未生效,常见原因:
- 服务未重启:修改 systemd unit 后必须执行
sudo systemctl daemon-reload && sudo systemctl restart xxx.service,仅 reload 不触发重载 oom_score_adj - 子进程继承失效:若主进程 fork 出新进程(如 Java 应用启动多个 JVM 子进程),默认不继承父进程的 oom_score_adj;需在 service 文件中显式加
OOMScoreAdjust=-500并配合ProtectProc=no(谨慎启用)和RestrictSUIDSGID=no(如需) - 被更高层级 cgroup 覆盖:例如服务运行在
workload.slice下,而该 slice 自身设置了OOMScoreAdjust=0,会覆盖子 service 的设置;应统一在 slice 或 service 级别设值,避免嵌套冲突
检查 cgroup v2 + systemd-oomd 的策略边界
Ubuntu 22.04+ 默认启用 systemd-oomd(非传统 OOM Killer),它依赖 PSI(Pressure Stall Information)和 cgroup v2 路径匹配。优先级配置容易失效,往往因为:
- 路径匹配失败:oomd 规则中的
cgroup字段必须严格匹配实际路径,例如workload.slice/myapp.service≠workload.slice/myapp.service/(末尾斜杠影响通配符解析) - 规则未启用或加载失败:运行
systemctl status systemd-oomd查看日志,确认是否报Failed to load ruleset或No matching cgroups found - ManagedOOMSwap 设置干扰判断:旧版 Ubuntu 默认
ManagedOOMSwap=kill,会导致 oomd 过早基于 swap 使用率触发 kill;建议改为ManagedOOMSwap=auto(已在 22.04 后期版本默认)
验证与调试真实 OOM 决策链
不要只看配置,要验证内核和 oomd 实际看到什么:
- 查进程当前得分:
cat /proc/PID/oom_score_adj(确认是 -500 而非 0) - 查 cgroup 所属:
cat /proc/PID/cgroup,确认它落在你配置的 slice 或 service 下 - 模拟内存压力测试后,立即查日志:
journalctl -u systemd-oomd --since "1 hour ago" -n 50,找类似Killing PID XXX (myapp) in cgroup workload.slice/myapp.service: memory.pressure high的记录 - 对比
ps -eo pid,comm,pmem,vsz,rss --sort=-rss | head -10和 oomd 日志中被杀进程,确认是否真按内存占用排序——若不是,说明 oom_score_adj 或 cgroup 隔离已起作用
规避“杀错”的实战配置习惯
经验表明,以下做法能显著减少误杀:
- 核心服务(如 sshd、journald)固定使用
-.slice或system.slice,并全局禁用其 oomd 监控:sudo systemctl set-property sshd.service ManagedOOM=false - 业务服务统一部署在自定义 slice(如
app.slice),并在 slice 级设置MemoryMax=+OOMScoreAdjust=,比单个 service 更易管控 - 为临时任务(如日志清理脚本)显式设置
OOMScoreAdjust=800+MemoryMax=100M,主动标记“可牺牲”,避免挤占关键服务资源位 - 禁用 swap 时务必谨慎:无 swap 会使系统失去缓冲窗口,oomd 可能来不及响应就直接触发 kernel OOM Killer,反而绕过所有 systemd 配置
