一、容器本地配置与Docker存储驱动
每个容器都被自动分配了本地存储,也就是内部存储。容器由一个可写容器层和若干只读镜像层组成,容器的数据就存放在这些层中。
容器本地存储采用的是联合文件系统。这种文件系统将其他文件系统合并到一个联合挂载点,实现了多层数据的叠加并对外提供一个统一视图。联合文件系统是Docker的一种底层技术
容器的本地存储是通过存储驱动进行管理的。存储驱动控制镜像和容器在 Docker 主机上的存储和管理方式。不同的存储驱动采用不同方法实现镜像构建和写时复制策略。
对于所能支持overlay2的Linux发行版来说,首选overlay2作为Docker的存储驱动。ContOS从7.4版本开始,所安装的Docker都能直接支持overlay2
# 查看Docker主机上当前使用的存储驱动
[root@docker ~]# docker info
Storage Driver: overlay2 # 存储驱动是overlay2
Backing Filesystem: xfs # 底层文件系统是xfs
Supports d_type: true # 支持d_type
Native Overlay Diff: true可根据需要更改现有的存储驱动。建议在更改存储驱动前使用docker save命令导出已创建的镜像,或者推送到注册中心,以免今后重建他们。
更改存储驱动会使得现有容器和镜像不可访问。在Linux上,可以通过修改/etc/docker/daemon.json配置文件来更改存储引擎配置,修改完后需要重启Docker才能够生效。
# 将存储驱动设置为overlay2
[root@docker ~]# vi /etc/docker/daemon.json
{
"storage-driver":"overlay2"
}二、容器与非持久化数据
非持久化数据是不需要保存的那些数据,容器本地存储中的数据就属于这种类型。容器创建时会创建非持久化存储,这是容器全部文件和文件系统保存的地方。在容器内创建的所有文件都存储在可写容器层,文件系统的改动都发生在容器层
2.1、存在问题
- 非持久化数据从属于容器,生命周期与容器相同,会随着容器的删除而被删除。
- 当该容器不再运行时,数据不会持久保存,如果另一个进程需要,则可能很难从该容器中获取数据。
- 容器的可写层与运行容器的Docker主机紧密耦合,无法轻松地将数据转移到其他位置。
- 写入容器的可写层需要Docker存储驱动管理文件系统。存储驱动使用Linux内核提供的联合文件系统,其性能不如直接写入主机文件系统的Docker卷。
三、容器与持久化数据
持久化数据是需要保存的数据,如客户信息、财务、计划、审计日志,以及某些应用日志数据。 Docker通过将主机中的文件系统挂载到容器中供容器访问,从而实现持久化数据存储,这就是容器的外部存储。 即使容器删除之后,这些文件仍然存在。 Docker 目前支持卷和绑定挂载这两种挂载类型来实现容器的持久化数据存储。
3.1、卷
- 卷是在Docker中进行持久化数据存储的最佳方式。
- 如果希望自己的容器数据保留下来(持久化),则可以将数据存储在卷上。
- 卷又称数据卷,本质上是 Docker 主机文件系统中的目录或文件,它能够直接被挂载到容器的文件系统中。
- 卷与容器是解耦的,因此可以独立地创建并管理卷,并且卷并未与任意容器生命周期绑定。
- 用户可以停止或删除一个关联了卷的容器,但是卷并不会被删除。
- 可以将任意数量的卷装入容器,多个容器也可以共享一个或多个卷。
3.2、绑定挂载
绑定挂载是Docker早期版本就支持的挂载类型。绑定挂载性能高,但它们需要指定主机文件系统的特定路径,从而限制了容器的可移植性。
3.3、外部存储与本地存储的关系
四、挂载类型
如果在Linux上运行Docker,也可以使用tmpfs挂载,仅支持非持久化数据,不能用于持久化数据存储。卷、绑定挂载和tmpfs挂载这三种类型的区别在于存放的位置不同:
4.1、卷
默认位置:/var/lib/docker/volumes目录。可以以命名方式或匿名方式挂载卷。
卷由Docker创建并管理,适用于以下场景:
- 多个正在运行的容器之间共享数据。
- 当Docker主机不能保证具有特定目录结构时,卷有助于将Docker主机的配置与容器运行时解绑。
- 当需要在两个Docker主机之间备份、恢复或迁移数据时。可以在停止使用卷的容器之后,备份卷所在的目录(如/var/lib/docker/volumes/<卷名>)。
4.2、解绑挂载
解绑挂载可以存储到主机系统的任何位置。适用场景:
- 在主机和容器之间共享配置文件。Docker向容器提供DNS解析时默认采用的就是这种方式。
- 在Docker主机上的开发环境和容器之间共享源代码或构建工作。
-
当Docekr主机上的目录结构保证与容器要求的绑定挂载一致时。
正在开发新的Docker化应用程序,则应考虑使用命名卷,而不要使用绑定挂载。
4.3、tmpfs挂载
仅限运行Linux操作系统的Docker主机使用,只存储在主机的内存中,不会被写到主机文件系统,因此不能保存容器的应用数据。在不需要将数据持久化到主机或容器时,tmpfs挂载最合适。
可以考虑使用tmpfs挂载避免将非持久化数据永久存储到任何位置,并且通过避免写入容器的可写层来提高容器的性能。
五、Docker卷管理语法
docker volume是Docker卷的管理命令,基本语法:
docker volume 子命令
子命令用于完成具体的卷管理任务,docker volume命令列举如下:
- docker volume create:创建一个新的卷。
- docker volume ls:列出本地Docker主机上的卷。
- docker volume inspect:查看卷的详细信息,包括卷在Docker主机文件系统中的具体位置。
- docker volume prune:删除未被容器或服务副本使用的全部卷。
- docker volume rm:删除未被使用的指定卷。
六、容器的文件系统挂载语法
使用docker run或docker create命令的相关选项将外部文件系统挂载到容器中。
6.1、-v的基本语法
-v [主机中的源:]容器中的目标[:<选项>]
- 第一个字段表示挂载源(来自主机的文件系统)
- 第二个字段是挂载目标(容器中的挂载点,可以是目录或文件路径,必须采用绝对路径的形式)
- 第三个字段是可选的,是一个以逗号分隔的选项列表,如ro表示只读。
6.2、--mount选项的基本语法
--mount <键>=<值>,<键>=<值>,...
其主要的键列举如下:
- type:指定要挂载的类型,值可以是bind(绑定挂载)、volume(卷)或tmpfs。默认使用volume。
- source(或src):指定挂载源。对于卷,这是卷名;对于绑定挂载,则为主机上的目录或文件。
- destination(或dst、target):指定挂载目标,即容器中的挂载点,必须采用绝对路径的形式。
- readonly:指定只读选项,表示源以只读方式挂载到容器中。
- 其他键:可以被多次指定,由若干键值对组成。卷和绑定挂载有不同的键。
七、示例
7.1、创建一个卷并让容器挂载
1、创建一个卷
[root@docker ~]# docker volume create test-vol
test-vol2、列出当前卷
[root@docker ~]# docker volume ls
DRIVER VOLUME NAME
local test-vol3、查看该卷的详细信息
[root@docker ~]# docker volume inspect test-vol
[
{
"CreatedAt": "2024-04-27T09:55:50+08:00",
"Driver": "local", # 卷驱动
"Labels": null,
"Mountpoint": "/var/lib/docker/volumes/test-vol/_data", # 卷的挂载点
"Name": "test-vol", # 卷名称
"Options": null,
"Scope": "local" # 卷的作用域
}
]
# 发现创建卷时会在Docker根目录(/vr/lib/docker)下的volumes子目录生成一个以卷名命名的子目录,在其下创建名为_data的子目录作为卷的存储路径4、创建并启动一个容器,并将test-vol卷挂载到容器中的/world目录。
docker run -it -v test-vol:/world ubuntu /bin/bash5、在容器中列出目录,发现有一个名为world目录,这个目录实际指向的就是上述的test-vol卷。
root@c3c86b6463b9:/# ls
bin boot dev etc home lib lib32 lib64 libx32 media mnt opt proc root run sbin srv sys tmp usr var world
# 退出该容器
root@c3c86b6463b9:/# exit
exit6、验证卷被正确挂载到容器中
[root@docker ~]# docker inspect c3c8
[
...
"Mounts": [ # 挂载信息
{
"Type": "volume", # 挂载类型为volume(卷)
"Name": "test-vol", # 卷名
"Source": "/var/lib/docker/volumes/test-vol/_data", # 挂载源
"Destination": "/world", # 挂载目标
"Driver": "local", # 卷驱动类型
"Mode": "z", # SELinux标签
"RW": true, # 可读写
"Propagation": "" # 传播属性
}
],
...
]
# 表明挂载的是一个卷,显示了正确的源和目标7、删除该卷。
[root@docker ~]# docker volume rm test-vol
Error response from daemon: remove test-vol: volume is in use - [c3c86b6463b9059cd97758faca00cd690944a31e973b1ac07d7c77ae333ecaac]
# 说明卷正在被使用。上述容器虽然停止运行,但仍处于生命周期内,会占用卷8、删除容器,在删除卷即可成功。
[root@docker ~]# docker rm c3c8
c3c8
[root@docker ~]# docker volume rm test-vol
test-vol创建卷时使用-d选项可以指定不同的驱动,第三方驱动可以通过插件方式接入。这些驱动提供了高级存储特性,并为Docker集成了外部存储系统
有些卷驱动可能需要使用-o或--opt等额外选项定制卷的创建
docker volume create --driver fake --opt tardis=blue --opt timey=wimey foo9、挂载NFS文件系统的示例:
docker volume crete --driver local \ # 本地驱动
--opt type=nfs \ # 文件类型为nfs
--opt o=addr=192.168.1.1,rw \ # NFS服务器地址,可读写
--opt device=:/path/to/dir \ # NFS目录路径
foo多个容器可以使用同一个卷(用于访问共享数据)。例如一个容器写入数据到卷,另一个容器从卷中读取数据。
卷名必须是唯一的,这意味着不同的卷驱动不能使用相同的卷名。
7.2、启动容器时自动创建卷
启动带有容器的卷时,若卷不存在,则Docker会自动创建这个卷。
# 将myvol挂载到容器testnovol的/app目录下。
docker run -d --name testnovol --mount source=myvol,target=/app nginx # --mount方法实现
docker run -d --name testnovol -v myvol:/app nginx # -v选项实现myvol卷并没有提取被创建,查看 该容器的详细信息:
[root@docker ~]# docker inspect testnovol
[
...
"Mounts": [
{
"Type": "volume",
"Name": "myvol",
"Source": "/var/lib/docker/volumes/myvol/_data", # 挂载源
"Destination": "/app", # 挂载目标
"Driver": "local",
"Mode": "z",
"RW": true,
"Propagation": ""
}
],
...
]7.3、使用容器填充卷
-
如果容器启动时挂载已经存在并拥有数据的卷,则容器不会将其挂载点目录的数据复制到该卷,而是直接使用该卷中的数据。
-
如果容器启动时挂载空白卷或自动创建新卷,而容器在挂载点目录中已有文件或目录,则该挂载点目录的内容会被传播(复制)到卷中,也就是将容器中挂载点目录的数据填充到卷中。
1、启动一个nginx容器,并使用容器的/usr/share/nginx/html目录(Nginx服务器存储器网页内容的默认位置)的内容填充新的卷nginx-vol。
[root@docker ~]# docker run -d --name=nginxtest --mount source=nginx-vol,destination=/usr/share/nginx/html nginx
d538791a4aa89bb8b6840b3287f0db270832b7ca31a7632012311b4007098dd92、查看该卷的详细信息,其挂载点信息如下:
[root@docker ~]# docker volume inspect nginx-vol
...
"Mountpoint": "/var/lib/docker/volumes/nginx-vol/_data",
...3、查看主机上该卷所在目录的内容,可以发现容器已经填充了卷
[root@docker ~]# ls -l /var/lib/docker/volumes/nginx-vol/_data
total 8
-rw-r--r-- 1 root root 497 Apr 16 22:29 50x.html
-rw-r--r-- 1 root root 615 Apr 16 22:29 index.html4、启动另一个容器挂载该卷,以使用其中预先填充的内容:
[root@docker ~]# docker run -it --name=othercntr --mount source=nginx-vol,destination=/nginx ubuntu /bin/bash
root@68134426c8e0:/# ls nginx
50x.html index.html
root@68134426c8e0:/# exit
exit5、删除容器和卷,恢复实验环境
docker stop nginxtest othercntr
docker rm nginxtest othercntr
docker volume rm nginx-vol7.4、使用只读卷
同一个卷可以由多个容器挂载,并且可以让某些容器执行读写操作,而让另一些容器仅能执行只读操作。
1、添加readonly参数。--mount选项的实现方法
[root@docker ~]# docker run -d --name=nginxtest --mount source=nginx-vol,destination=/usr/share/nginx/html,readonly nginx:latest
[root@docker ~]# docker inspect nginxtest
...
"Mounts": [
{
"Type": "volume",
"Name": "nginx-vol",
"Source": "/var/lib/docker/volumes/nginx-vol/_data",
"Destination": "/usr/share/nginx/html",
"Driver": "local",
"Mode": "z", # SELinux标签
"RW": false, # 读写为false表示只读
"Propagation": ""
}
]
...
# 停止并删除nginxtest容器,然后删除nginx-vol卷,恢复环境2、-v选项实现方法
[root@docker ~]# docker run -d --name=nginxtest -v nginx-vol:/usr/share/nginx/html:ro nginx:latest
[root@docker ~]# docker inspect nginxtest
...
"Mounts": [
{
"Type": "volume",
"Name": "nginx-vol",
"Source": "/var/lib/docker/volumes/nginx-vol/_data",
"Destination": "/usr/share/nginx/html",
"Driver": "local",
"Mode": "ro", # 模式为只读
"RW": false, # 读写为false表示只读
"Propagation": ""
}
],
...7.5、使用匿名卷
在创建或启动容器时可以创建匿名卷,匿名卷没有指定明确的名称。
1、使用--mount选项启动容器时不定义source,则会产生匿名卷:
[root@docker ~]# docker run -it --mount destination=/world ubuntu /bin/bash
root@eb339806b639:/# exit
exit2、查看该容器的详细挂载信息:
[root@docker ~]# docker inspect eb33
...
"Mounts": [
{
"Type": "volume",
"Name": "3e19c9513c022a4310411d5becd7715b3c935e0685e2...",
"Source": "/var/lib/docker/volumes/3e19c9513c022a4...aae/_data",
"Destination": "/world",
"Driver": "local",
"Mode": "z",
"RW": true,
"Propagation": ""
}
],
...发现匿名卷不是没有名称,而是Docker自动为匿名卷自动生成了一个UUID(通用唯一识别码)作为名称。
3、删除该容器,列出当前卷,发现该匿名卷仍然存在
[root@docker ~]# docker rm eb33
eb33
[root@docker ~]# docker volume ls
DRIVER VOLUME NAME
local 3e19c9513c022a4310411d5becd7715b3c935e0685e2927daae6ee4bf53737f34、若要删除匿名卷,必须指定匿名卷的完整UUID:
[root@docker ~]# docker volume rm 3e19
Error response from daemon: get 3e19: no such volume
[root@docker ~]# docker volume rm 3e19c9513c022a4310411d5becd7715b3c935e0685e2927daae6ee4bf53737f3
3e19c9513c022a4310411d5becd7715b3c935e0685e2927daae6ee4bf53737f3要自动删除匿名卷,应在创建容器时使用--rm选项。
要使用-v选项在启动容器时产生匿名卷,则需要省略第1个字段:
docker run -it -v /world ubuntu /bin/bash7.6、绑定挂载主机上的目录
通过绑定挂载可以将Docker主机上现有的目录绑定挂载到容器的目录中,需要挂载的目录可以由主机上的绝对路径引用。
1、准备源代码目录并切换到source目录
[root@docker ~]# mkdir -p source/target
[root@docker ~]# cd source
[root@docker source]# ls
target2、启动容器并将主机上的source/target目录挂载到容器的/app目录中。
# --mount方式 $(pwd)表示指定挂载源为主机的当前目录
[root@docker source]# docker run -d -it --name devtest --mount type=bind,source="$(pwd)"/target,target=/app nginx
# -v方式,两种选其一即可
[root@docker source]# docker run -d -it --name devtest -v "#(pwd)"/target:/app nginx3、查看容器的信息信息,验证绑定挂载是否正确。
[root@docker source]# docker inspect devtest
...
"Mounts": [
{
"Type": "bind", # 挂载类型为bind(绑定)
"Source": "/root/source/target",# 挂载源
"Destination": "/app", # 目标为容器上的/app
"Mode": "", # 模式为空
"RW": true, # 可读写
"Propagation": "rprivate" # 传播方式:表示私有的
}
],
...4、停止并删除容器,恢复环境:
docker stop devtest
docker rm devtest5、只读绑定挂载:
# --mount选项方法
docker run -d -it --name devtest --mount type=bind,source="$(pwd)"/target,target=/app,readonly nginx
# -v选项方法
docker run -d -it --name devtest -v "$(pwd)"/target:/app :ro nginx
# 查看容器详细信息:
[root@docker source]# docker inspect devtest
...
"Mounts": [
{
"Type": "bind", # 挂载类型为bind(绑定)
"Source": "/root/source/target",# 挂载源
"Destination": "/app", # 目标为容器上的/app
"Mode": "", # 模式为空
"RW": false, # 只读
"Propagation": "rprivate" # 传播方式:表示私有的
}
],
...
# 停止并删除容器,恢复环境7.7、绑定挂载主机上的文件
除了绑定挂载目录外,还可以单独指定一个文件进行绑定挂载,该文件可以由主机上的绝对路径引用。
绑定挂载文件主要用于主机与容器之间共享配置文件。
例如:将主机上的/etc/localtime挂载到容器中,可以让容器的时区设置与主机保持一致:
[root@docker ~]# docker run --rm -it -v /etc/localtime:/etc/localtime ubuntu /bin/bash
root@b7b0f93b2fb4:/# date +%z # 查看时区设置
+0800
root@b7b0f93b2fb4:/# exit
exit7.8、绑定挂载主机上不存在的目录或文件
绑定挂载Docker主机上并不存在的目录或文件时,--mount和-v选项的表现有些差异。
使用-v选项,则会在主机上自动创建一个目录,对于不存在的文件,创建的也是一个目录。
[root@docker-2322030238 ~]# docker run --rm -v /doesnt/exist:/foo -w /foo -i -t ubuntu bash
root@bb0caeb00906:/foo# exit
exit
# 可以发现家目录下有doesnt目录,其下有exist目录
[root@docker-2322030238 ~]# cd / && ls
... doesnt ...但用--mount选项,Docker非但不会自动创建目录,反而会报错。
[root@docker ~]# docker run --rm --mount type=bind,source=/doesnt/exist:/foo,target=/foo -w /foo -i -t ubuntu bash
docker: Error response from daemon: invalid mount config for type "bind": bind source path does not exist: /doesnt/exist:/foo.7.9、绑定挂载到容器中的非空目录
若果将主机上的目录挂载到容器中的非空目录,则容器挂载的目录中的现有内容会被绑定挂载(主机上的目录)所遮盖(被遮盖的目录不会被删除或更改,但不可访问)
无论主机上的目录是否为空,绑定挂载到容器的非空目录都会发生遮盖的情况。对于卷来说,只有卷中存在内容,挂在卷的容器目录才会被遮盖而使用该卷中的内容。
比较极端的示例:用主机上的/tmp目录替换容器/usr目录的内容(这会产生一个没有用处的容器):
[root@docker-2322030238 ~]# docker run -d -it --name broken-container --mount type=bind,source=/tmp,target=/usr nginx
240b7c0c3541d07e4e932ddbb6f83a7121ae3e4b8af7dcf2c2e3432ccf008975
# 容器虽然创建了,但是无法工作。使用以下命令删除容器
docker container rm broken-container7.10、备份、恢复和迁移数据卷
可以通过卷容器(Volume Container)实现卷的备份、恢复和迁移。卷容器又称数据卷容器,是一种特殊的容器,专门用来将卷(也可以是绑定挂载)提供给其他容器挂载。使用docker run或docker create创建容器时可通过--volumes-from选项基于卷容器创建一个新的容器,并挂载卷容器提供的卷。
1、创建卷容器
# 创建一个名为dbstore的卷容器,挂载一个匿名卷(/dbdata)
[root@docker ~]# docker create -v /dbdata --name dbstore busybox /bin/sh2、备份卷容器
[root@docker ~]# docker run --rm --volumes-from dbstore -v $(pwd):/backup ubuntu tar cvf /backup/backup.tar /dbdata
tar: Removing leading `/' from member names
/dbdata/
[root@docker ~]# ls
... backup.tar ... - 启动一个新的容器并从dbstore容器中挂载卷
- 将本地主机的当前目录挂载为/backup
- 传送一个命令,将dbdata卷的内容打包为/backup/backup.tar文件
命令完成后,会在主机当前目录中留下一个dbdata卷的备份文件
3、从备份中恢复卷容器
创建备份后,可以将它恢复到同一个容器,或者另一个在别处创建的容器。
# 创建一个名为dbstore2的新容器
docker run -v /dbdata --name dbstore2 ubuntu /bin/bash在新容器的数据卷中将备份文件解压缩
docker run --rm --volumes-from dbstore2 -v $(pwd):/backup ubuntu bash -c "cd /dbdata && tar xvf /backup/backup.tar --strip 1"
