Docker容器：网络模式与资源控制

一、Docker 网络模式

1、Docker 网络实现原理

2、Docker 网络模式概述

2.1 Host 模式

2.2 Container 模式

2.3 None 模式

2.4 Bridge 模式

2.5 自定义网络（user-defined network）

3、配置 docker 网络模式

3.1 查看网络基础命令

3.1.1 查看 docker 网络列表

3.1.2 搜索指定网络模式的容器

3.1.3 查看容器的进程

3.1.4 查看容器信息(包含配置、环境、网关、挂载、cmd等信息）

3.1.5 查看网桥bridge信息

3.2 配置 host 网络模式

3.3 配置 container 网络模式

3.4 配置 none 网络模式

3.5 配置 bridge 网络模式

3.6 配置 user-defined network 模式（自定义网络）

二、Docker 资源控制

1、CPU 资源控制

1.1 设置CPU使用率上限

1.2 设置CPU资源占用比（设置多个容器时才有效）

1.3 设置容器绑定指定的CPU

2、对内存使用的限制

2.1 使用--memory标志

2.2 使用--memory-swap标志

3、对磁盘IO配额控制（blkio）的限制

3.1 限制容器的读写速度

3.2 限制容器的读写次数

三、Docker 故障造成大量日志导致磁盘爆满故障

四、总结

1、Docker 网络模式

2、Docker 资源控制

2.1 CPU资源控制

2.2 内存资源限制

2.3 磁盘IO配额限制

一、Docker 网络模式

1、Docker 网络实现原理

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器

端口映射：

在启动容器的时候，如果不指定对应的端口，在容器外是无法通过网络来访问容器内的服务

端口映射机制将容器内的服务提供给外部网络访问，实质上就是将宿主机的端口映射到容器中，使得外部网络访问宿主机的端口便可访问容器内的服务

docker run -d --name test1 -P nginx	          #随机映射端口（从32768开始）
docker run -d --name test2 -p 9999:80 nginx	  #指定映射端口

docker ps -a   #查看当前所有的容器

浏览器访问：http://172.16.12.12:32768 和 http://172.16.12.12:9999

#查看容器的输出和日志信息
格式：docker logs 容器的ID/名称
如：docker logs test1

#使用 docker run -p 时，docker实际是在iptables做了DNAT规则，实现端口转发功能
iptables -t nat -vnL

2、Docker 网络模式概述

Docker 提供了多种网络模式，用于在容器间和容器与外部网络之间建立通信。这些网络模式可以根据实际需求选择，下面是一些常见的 Docker 网络模式

2.1 Host 模式

相当于Vmware中的桥接模式，与宿主机在同一个网络中，但没有独立IP地址
Docker使用了Linux的Namespaces技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等
一个Network Namespace提供了一份独立的网络环境，包括网卡、路由、iptable规则等都与其他的Network Namespace隔离。一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡、配置自己的IP等，而是使用宿主机的IP和端口
解决了ip地址不固定的情况

优点：

① 性能优势：由于容器与宿主机共享网络栈，因此在host网络模式下，容器之间的通信不需要经过网络地址转换（NAT），可以提高网络性能

② 简化网络配置：使用host网络模式可以简化网络配置，容器可以直接访问宿主机上的所有网络服务，无需进行端口映射

③ 高吞吐量：由于容器直接使用宿主机的网络接口，可以获得更高的网络吞吐量，适用于对网络性能要求较高的场景

缺点：

① 安全性：由于容器与宿主机共享网络栈，容器之间的隔离性降低，可能会增加一定的安全风险，特别是在多租户环境中

② 端口冲突：在host网络模式下，容器与宿主机共享相同的网络接口，可能会导致端口冲突，需要谨慎管理端口使用

③ 不适用于多主机环境：host网络模式适用于单个主机上的容器，不适用于跨主机通信的场景

2.2 Container 模式

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围（端口不能一致）等
同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信

优点：

① 容器之间共享同一个网络命名空间，可以直接进行网络通信，无需通过网络层进行路由，提高了网络通信的效率

② 可以方便地实现容器之间的私有网络，适用于需要高度互联的容器组

③ 可以更好地控制容器之间的通信，增强了网络安全性

缺点：

① 容器之间共享网络命名空间，可能会导致网络隔离性不足，容器之间的通信可能会相互影响

② 不适合需要完全隔离的场景，因为容器共享网络命名空间，可能会导致安全性问题

③ 可能会增加网络配置和管理的复杂性，特别是在大规模部署时

2.3 None 模式

该模式关闭了容器的网络功能
使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等
这种网络模式下容器只有lo回环网络，没有其他网卡。 none模式可以在容器创建时通过–network=none来指定。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性
可以安全的储存数据，不会被攻击，可以用来当个仓库

优点：

① 提供了最高级别的隔离性，适用于一些需要完全隔离的场景，如测试隔离性等。

② 可以防止容器与外部网络发生意外的通信，增强了安全性。

缺点：

① 容器无法与外部网络通信，除非手动配置网络连接或使用其他通信方式，这可能增加了管理和配置的复杂性。

② 不适合一般应用场景，因为容器无法访问外部资源，如互联网或其他容器服务。

2.4 Bridge 模式

此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat表配置与宿主之间的关联
当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中
从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备，Docker将veth pair设备的一端放在新创建的容器中，并命名为eth0（容器的网卡），另一端放在主机中，以vethxxx这样类似的名字命名，并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看
bridge模式是docker的默认网络模式，不写–net参数，就是bridge模式。使用docker run -p时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL查看

优点：

① 桥接网络模式是默认的网络模式，易于使用和管理。

② 提供了一定程度的网络隔离，容器之间默认无法直接通信，增强了安全性。

③ 允许容器使用NAT（网络地址转换）来访问外部网络，同时也支持端口映射，方便从外部访问容器内的服务。

缺点：

① 需要进行端口映射才能从外部访问容器内的服务，可能会增加管理复杂性。

② 容器之间的通信需要通过桥接网络，可能会影响性能，尤其在大规模部署时。

2.5 自定义网络（user-defined network）

创建自定义的网络模式来满足特定的网络需求。自定义网络模式可以帮助您更好地管理容器之间的通信和隔离

优点：

① 隔离性：自定义网络模式可以帮助实现容器之间的隔离，使它们可以在独立的网络环境中运行

② 灵活性：通过自定义网络模式，您可以根据应用程序需求定制网络配置，实现更灵活的网络管理

③ 安全性：自定义网络模式可以帮助您更好地控制容器之间的通信，提高网络安全性

④ 性能：自定义网络模式可以优化容器之间的通信性能，减少不必要的网络开销

缺点：

① 需要用户自行创建和配置网络，可能增加管理复杂性

3、配置 docker 网络模式

使用docker run创建Docker容器时，可以用 --net 或 --network 选项指定容器的网络模式

host模式	--net=host	容器和宿主机共享Network namespace
container模式	--net=container:NAME_or_ID	多个容器共享一个Network namespace
none模式	--net=none	容器有独立的Network namespace，但并没有对其进行任何网络设置，如分配veth pair 和网桥连接，配置IP等。
bridge模式	--net=bridge	默认为该模式，可省略

3.1 查看网络基础命令

3.1.1 查看 docker 网络列表

安装Docker时，它会自动创建三个网络，bridge（创建容器默认连接到此网络）、 none 、host

#查看docker网络列表
docker network ls 或 docker network list

3.1.2 搜索指定网络模式的容器

格式：docker ps --filter "network=网络模式"   或者  docker network ls|grep 网络模式
#如：docker ps --filter "network=bridge"  #搜索bridge模式的容器
#如：docker network ls|grep bridge

3.1.3 查看容器的进程

docker inspect -f '{{.State.Pid}}' 容器ID/容器名称   #查看指定容器的进程号

3.1.4 查看容器信息(包含配置、环境、网关、挂载、cmd等信息）

docker inspect  容器ID/容器名

3.1.5 查看网桥bridge信息

brctl show

3.2 配置 host 网络模式

#创建名为nginx01的容器网络模式为host
docker run -d --name nginx01 --network host nginx:latest

docker inspect nginx01  #查看容器详细信息，包括配置、环境、网络模式等信息

#查看host模式的容器
docker ps --filter "network=host"

docker inspect -f '{{.State.Pid}}' nginx01   #查看指定容器的进程号
lsof -i:80   #查看80端口是否被host模式的nginx01容器的进程占用

浏览器访问：172.16.12.10，查看是否能访问nginx

3.3 配置 container 网络模式

（1）先创建一个bridge模式的容器

docker run -itd --name centos01 centos:7 /bin/bash

#搜索bridge模式的容器，是否有centos01
docker ps --filter "network=bridge"

#查看容器进程号
docker inspect -f '{{.State.Pid}}' centos01

#查看容器的进程、网络、文件系统等命名空间编号
ls -l /proc/9684/ns

（2）创建 container 模式的容器centos02，共享centos01容器的网卡

docker run -itd --name centos02 --net=container:centos01 centos:7 /bin/bash

#查看centos02容器的网络模式是否是container
docker inspect centos02 | grep NetworkMode

#查看容器进程号
docker inspect -f '{{.State.Pid}}' centos02

#查看容器的进程、网络、文件系统等命名空间编号
ls -l /proc/9967/ns

观察可以发现两个容器的 net namespace 编号相同

3.4 配置 none 网络模式

#创建网络模式为 none 的centos03容器
docker run -itd --name centos03 --network=none centos:7 /bin/bash

#查看centos03容器的网络模式是否是node
docker inspect centos03

#搜索网络模式为none的容器
docker ps --filter "network=none"

3.5 配置 bridge 网络模式

bridge模式是docker的默认网络模式，不用--net参数，就是bridge模式

#创建网络模式为 bridge（默认模式） 的centos04容器，不用--net参数指定
docker run -itd --name centos04 centos:7 /bin/bash

#查看centos04容器的网络模式是否是bridge
docker inspect centos04

#搜索网络模式为bridge的容器
docker ps --filter "network=bridge"

3.6 配置 user-defined network 模式（自定义网络）

#直接使用bridge模式，是无法支持指定IP运行docker的，例如执行以下命令就会报错
docker run -itd --name centos05 --network bridge --ip 172.17.0.100 centos:7 /bin/bash

（1）创建自定义网络

#可以先自定义网络，再使用指定IP运行docker
docker network create --subnet=172.20.0.0/16 --opt "com.docker.network.bridge.name"="docker1"  mynetwork

#docker1 为执行 ifconfig -a 命令时，显示的网卡名，如果不使用 --opt 参数指定此名称，那你在使用 ifconfig -a 命令查看网络信息时，看到的是类似 br-110eb56a0b22 这样的名字，这显然不怎么好记
#mynetwork 为执行 docker network list 命令时，显示的bridge网络模式名称

brctl show   #查看网桥信息

（2）使用指定IP创建并运行docker

docker run -itd --name centos05 --net mynetwork --ip 172.20.0.100 centos:7 /bin/bash

#查看centos05容器的IP是否是我们设置的172.20.0.100
docker inspect centos05

二、Docker 资源控制

1、CPU 资源控制

Control Groups (cgroups)：

cgroups，是一个非常强大的linux内核工具，他不仅可以限制被 namespace 隔离起来的资源，还可以为资源设置权重、计算使用量、操控进程启停等等。所以 cgroups（Control groups）实现了对资源的配额和度量

cgroups有四大功能：

资源限制：可以对任务使用的资源总额进行限制
优先级分配：通过分配的cpu时间片数量以及磁盘IO带宽大小，实际上相当于控制了任务运行优先级
资源统计：可以统计系统的资源使用量，如cpu时长，内存用量等
任务控制：cgroup可以对任务执行挂起、恢复等操作

1.1 设置CPU使用率上限

Linux通过CFS（Completely Fair Scheduler，完全公平调度器）来调度各个进程对CPU的使用。CFS默认的调度周期是100ms
我们可以设置每个容器进程的调度周期，以及在这个周期内各个容器最多能使用多少 CPU 时间
使用 --cpu-period 即可设置调度周期，使用 --cpu-quota 即可设置在每个周期内容器能使用的CPU时间。两者可以配合使用
CFS 周期的有效范围是 1ms~1s，对应的 --cpu-period 的数值范围是 1000~1000000。周期100毫秒
而容器的 CPU 配额必须不小于 1ms，即 --cpu-quota 的值必须 >= 1000

#创建并运行一个centos06容器
docker run -itd --name centos06 centos:7 /bin/bash

#切换到指定 Docker 容器的 CPU 控制组目录
cd /sys/fs/cgroup/cpu/docker/a4a05d1b6b69644fec398777baa35daeb82606c4cc540d65be0d3e2259737f27/
#/sys/fs/cgroup/cpu/docker/: 这是 Docker 容器的 CPU 控制组目录所在的路径。控制组是 Linux 内核提供的一种机制，用于对进程组进行资源控制和管理

Docker 容器的 CPU 控制组目录	说明
cgroup.clone_children	用于控制是否允许子 cgroup 继承父 cgroup 的配置。如果设置为 1，则子 cgroup 将继承父 cgroup 的配置；如果设置为 0，则子 cgroup 将不继承父 cgroup 的配置
cgroup.procs	列出了当前在该 cgroup 中运行的进程（任务）的 PID。可以通过向这个文件写入 PID，将进程移动到该 cgroup 中
cpuacct.usage	包含了容器在 CPU 上消耗的总时间，以纳秒为单位。可以用来监视容器在 CPU 上的实际使用情况
cpu.cfs_period_us	用于设置 CPU CFS（Completely Fair Scheduler）周期的长度，单位是微秒。决定了任务在一个周期内能够使用的 CPU 时间
cpu.rt_period_us	用于设置实时调度任务的周期长度，单位是微秒。用于限制实时任务在一个周期内的执行时间
cpu.shares	用于设置容器相对于其他容器的 CPU 分配权重。通过调整这个值，可以影响容器在 CPU 分配上的优先级
notify_on_release：	用于控制当 cgroup 中的最后一个任务退出时是否通知。如果设置为 1，则当 cgroup 中的最后一个任务退出时会收到通知；如果设置为 0，则不会收到通知
cgroup.event_control	用于控制 cgroup 事件的通知。可以用来注册和取消事件通知
cpuacct.stat	包含了有关 CPU 账户的统计信息，例如用户态和内核态的 CPU 时间消耗
cpuacct.usage_percpu	包含了每个 CPU 核心上容器消耗的 CPU 时间，以纳秒为单位。可以用来查看每个 CPU 核心上的 CPU 使用情况
cpu.cfs_quota_us	用于设置容器在一个周期内能够使用的 CPU 时间配额，单位是微秒。超过这个配额的部分将被限制
cpu.rt_runtime_us	用于设置实时调度任务的运行时间配额，单位是微秒。用于限制实时任务的运行时间
cpu.stat	包含了有关 CPU 使用情况的统计信息，例如 CPU 时间消耗、时间片的使用情况等
tasks	列出了当前在该 cgroup 中运行的进程（任务）的 PID。可以通过向这个文件写入 PID，将进程移动到该 cgroup 中

#查看容器在一个周期内能够使用的 CPU 时间配额
cat cpu.cfs_quota_us 
#默认值 -1，表示该容器没有被限制在一个周期内可以使用的 CPU 时间配额
#如果设为50000，表示占用50000/100000=50%的CPU

#查看CPU CFS 调度器的周期长度，单位也是微秒（us）
cat cpu.cfs_period_us
#CPU CFS 调度器的周期长度为100毫秒。在一个周期内，容器的进程可以使用的 CPU 时间总量受限于这个周期的长度

（1）设置50%的比例分配CPU使用时间上限

echo 50000 > cpu.cfs_quota_us 
cat cpu.cfs_quota_us

（2）进入到容器中，进行CPU压力测试

#进入到centos06的容器内
docker exec -it centos06 /bin/bash

#编写压力测试的循环脚本
vi cpu.sh
#!/bin/bash
i=0
while true
do
let i++
done

#添加执行权限，并执行脚本
chmod +x cpu.sh
source cpu.sh

（3）查看CPU占用资源

top     #查看这个压力测试的循环脚本占了50%左右的CPU资源

docker stats  #查看容器占用的系统资源信息

注：

如果不对 cpu.cfs_quota_us 进行限制，则默认值为-1的情况下，进行压力测试，CPU资源使用率接近100%

总结：
设置设置50%的比例分配CPU使用时间上限的方法

方法一：创建并运行容器时指定分配CPU使用时间的比例进行限额
docker run -itd --name test --cpu-quota 50000 centos:7 /bin/bash

方法二：进入Docker容器的 CPU 控制组目录，并更改cpu.cfs_quota_us文件内容为指定分配CPU使用时间的比例来进行限额
cd /sys/fs/cgroup/cpu/docker/a4a05d1b6b69644fec398777baa35daeb82606c4cc540d65be0d3e2259737f27/
echo 50000 > cpu.cfs_quota_us

1.2 设置CPU资源占用比（设置多个容器时才有效）

Docker 通过 --cpu-shares 指定 CPU 份额，默认值为1024，值为1024的倍数

虚拟机修改成单核CPU才有明显的效果

（1）创建并运行两个容器为 c1 和 c2，并设置容器的权重，使得c1和c2的CPU资源占比为1/3和2/3

#创建并运行两个容器为 c1 和 c2，若只有这两个容器，设置容器的权重，使得c1和c2的CPU资源占比为1/3和2/3
docker run -itd --name c1 --cpu-shares 512 centos:7	
docker run -itd --name c2 --cpu-shares 1024 centos:7

（2）分别进入这两个容器，并进行压力测试

#分别进入这两个容器，并进行压力测试
docker exec -it c1 /bin/bash    #进入到c1容器内
yum install -y epel-release     #安装额外源
yum install -y stress           #安装stress压力测试工具
stress -c 4   #产生四个进程，每个进程都反复不停的计算随机数的平方根

docker exec -it c2 /bin/bash    ##进入到c2容器内
yum install -y epel-release
yum install -y stress
stress -c 4

（3）查看容器运行状态（动态更新）

docker stats  #查看容器占用的系统资源信息

1.3 设置容器绑定指定的CPU

先分配虚拟机4个CPU核数

（1）创建并运行bak容器绑定CPU1和CPU3

docker run -itd --name bak --cpuset-cpus 1,3 centos:7 /bin/bash

（2）进入容器，进行压力测试

#进入容器，进行压力测试
docker exec -it bak /bin/bash    #进入到c1容器内
yum install -y epel-release     #安装额外源
yum install -y stress           #安装stress压力测试工具
stress -c 4   #产生四个进程，每个进程都反复不停的计算随机数的平方根

（3）使用top查看CPU绑定情况

2、对内存使用的限制

2.1 使用`--memory`标志

在Docker中，可以使用内置的功能来限制容器可以使用的内存量

可以在运行容器时使用--memory标志来设置容器可以使用的内存量，单位可以是字节、千字节、兆字节、千兆字节或者吉字节

#-m(--memory=) 选项用于限制容器可以使用的最大内存
docker run -itd --name nc -m 512m centos:7 /bin/bash
#限制新容器nc的最大使用内存为512MB

docker stats  #查看容器占用的系统资源信息

2.2 使用`--memory-swap`标志

--memory-swap标志可以用来设置容器可以使用的交换空间大小。强调一下，--memory-swap 是必须要与 --memory 一起使用的

正常情况下，--memory-swap 的值包含容器可用内存和可用 swap。所以 -m 300m --memory-swap=1g 的含义为：容器可以使用 300M 的物理内存，并且可以使用 700M（1G - 300）的 swap

如果 --memory-swap 设置为 0 或者不设置，则容器可以使用的 swap 大小为 -m 值的两倍
如果 --memory-swap 的值和 -m 值相同，则容器表示禁用交换空间swap
如果 --memory-swap 值为 -1，它表示容器程序使用的内存受限，而可以使用的 swap 空间使用不受限制（宿主机有多少 swap 容器就可以使用多少）

docker run -itd --name swp -m 200m --memory-swap=1g nginx:latest --vm 1 --vm-bypes 100m
#--vm 1：启动1个内容工作线程
#--vm-bypes：每个线程分配100M

3、对磁盘IO配额控制（blkio）的限制

--device-read-bps：限制某个设备上的读速度bps（数据量），单位可以是kb、mb(M)或者gb
例：docker run -itd --name test9 --device-read-bps /dev/sda:1M  centos:7 /bin/bash

--device-write-bps ： 限制某个设备上的写速度bps（数据量），单位可以是kb、mb(M)或者gb
例：docker run -itd --name test10 --device-write-bps /dev/sda:1mb centos:7 /bin/bash

--device-read-iops ：限制读某个设备的iops（次数）
 
--device-write-iops ：限制写入某个设备的iops（次数）

3.1 限制容器的读写速度

此测试只能在旧版本的docker有效，如20.10.17版本，新版本可能会有问题

#创建容器，并同时限制读取和写入速率
docker run -it --name wre --device-read-bps=/dev/sda:5MB --device-write-bps=/dev/sda:1MB centos:7 /bin/bash

#通过dd来验证写速度
dd if=/dev/zero of=test.out bs=1M count=10 oflag=direct                
#添加oflag参数以规避掉文件系统cache

3.2 限制容器的读写次数

用于限制容器中指定设备的每秒读取和写入操作数 (IOPS)

#限制读取和写入次数，指定了对 /dev/sda 设备的最大读取 IOPS 为 300，指定了对 /dev/sda 设备的最大写入 IOPS 为 300
docker run -it --name cis --device-read-iops=/dev/sda:300 --device-read-iops=/dev/sda:300 centos:7 /bin/bash

三、Docker 故障造成大量日志导致磁盘爆满故障

处理Docker故障导致磁盘爆满的问题通常需要一系列步骤

（1）停止Docker服务

首先，停止Docker服务以阻止持续写入造成的进一步磁盘使用
docker stop 容器ID/名称
（2）删除不必要的容器和镜像

删除不再需要的容器、镜像和数据卷，以释放磁盘空间
#删除所有已停止的容器
docker container prune

#删除不再使用的镜像
docker image prune

#删除未被任何容器使用的数据卷
docker volume prune

#清理docker占用的磁盘空间
docker system prune -a			
#可以用于清理磁盘，删除关闭的容器、无用的数据卷和网络
（3）清理日志文件
#编写脚本，清除日志
vim /opt/clean.sh
#!/bin/bash
logs=$(find /var/lib/docker/containers/ -name *-json.log*)
for log in $logs
do
cat /dev/null > $log
done
（4）设置docker日志文件数量及每个日志大小
#设置docker日志文件数量及每个日志大小
 vim /etc/docker/daemon.json
{
"registry-mirrors": ["http://f613ce8f.m.daocloud.io"]，
"log-driver": "json-file",   #日志格式
"log-opts": { "max-size" : "500m", "max-file" : "3"}   
#日志的参数最大500M，最大容器中有三个日志文件，每个日志文件大小是500M
}

#修改完需要重新加载  
systemctl daemon-reload
（5）定期清理

建立计划任务：crontab -e，设定时间执行清除日志的脚步
crontab -e
* */3 1 * *  /usr/bin/bash /opt/clean.sh
（6）监控和预防措施

最后，确保实施监控和预防措施以避免未来的磁盘爆满问题。可以使用监控工具来追踪磁盘使用情况，并且可以设置警报，以便在磁盘使用接近极限时采取行动

完成这些步骤后，您可以重新启动Docker服务，并且应该能够恢复正常运行

（1）模拟新建容器一直在后台持续运行占用资源

#在后台持续运行 docker run 创建的容器
#需要在 docker run 命令之后添加 -d 选项让 Docker 容器以守护形式在后台运行。并且容器所运行的程序不能结束
docker run -itd centos:7 /usr/bin/bash -c "while true;do echo hello;done"

#切换至存放docker运行中的容器的相关数据的目录
cd /var/lib/docker/containers/
#查看文件所占磁盘空间的大小
du -sh *

此时CPU利用率过高，会导致卡顿等问题

（2）停止运行有问题的容器

docker stop a5e663466278

（3）清理日志文件

#编写脚本，清除日志
vim /opt/clean.sh
#!/bin/bash
logs=$(find /var/lib/docker/containers/ -name *-json.log*)
for log in $logs
do
cat /dev/null > $log
done

#添加执行权限，并执行脚本
chmod +x /opt/clean.sh
. /opt/clean.sh