systemd CPUQuota로 CPU 폭주 방지하기

CPU를 독점하는 프로세스가 전체 서버를 망치지 않도록, 서비스 단위로 상한을 거는 방법

분야: DevOps/인프라 시리즈: systemd systemdcgroupscpuperformance

운영에서는 “한 서비스의 CPU 폭주”가 서버 전체 장애로 이어지는 경우가 많습니다. systemd의 CPUQuota=는 서비스 단위로 CPU 사용 상한을 걸어 다른 서비스까지 같이 죽는 상황을 줄여줍니다.

관련 용어: CPUQuota

1) 의미 이해하기

CPUQuota=100%는 대체로 “CPU 1코어를 100% 사용”에 해당합니다.
멀티코어 서버에서는 200%, 400%처럼 코어 수에 맞춰 더 크게 잡을 수 있습니다.
값은 “정확한 성능 튜닝”이 아니라 폭주 방지용 가드레일로 쓰는 게 실전에서 유용합니다.

2) 예시 (유닛 파일)

[Service]
CPUQuota=200%
Restart=always

3) 운영 팁

CPU 제한을 걸면 “응답 지연”이 늘 수 있으므로, rate limit/캐시와 같이 적용하면 효과가 큽니다.
장애 원인을 숨기지 않도록, 메트릭/로그로 “스파이크”는 반드시 남게 합니다.

관련 문서: nginx에서 봇/abuse 트래픽 대응하기

관련 가이드

백업 설계: 복구 가능 + secrets 제외

백업은 ‘파일 생성’이 아니라 ‘복구 검증’입니다. DB/파일/시크릿을 분리해 운영 사고를 줄입니다.

Let’s Encrypt / certbot 운영 체크리스트

SSL 발급/갱신에서 자주 막히는 포인트(.well-known, 리다이렉트, 자동갱신)를 정리

MediaWiki 서버 이전 체크리스트 (nginx + PHP-FPM + DB)

MediaWiki(위키)를 다른 서버로 옮길 때 필요한 파일/DB/nginx/PHP/TLS 체크리스트

nginx에서 봇/abuse 트래픽 대응하기

UA 차단(map), rate limit, 캐시로 비용을 줄이고 서비스 안정성을 올리는 실전 패턴

한 VPS에서 여러 도메인/앱을 nginx로 운영하는 구조

정적 사이트 + API 프록시 + PHP(FastCGI)까지 함께 올릴 때의 vhost/경로/캐시/보안 패턴

nginx로 Node 서버 배포하기 (systemd + HTTPS)

Node 서버를 localhost로 띄우고 nginx로 프록시한 뒤, certbot으로 Let’s Encrypt SSL까지 한 번에 구성하는 흐름 가이드