配置说明

以下配置说明,统一以 CentOS 7.3 为系统环境,其它系统版本可能会有所不同。

相关配置文件

基本配置文件:

  • /etc/sysconfig/docker

  • /etc/sysconfig/docker-storage-setup

  • /etc/sysconfig/docker-network

  • /etc/docker/daemon.json

systemd 服务配置:

  • /usr/lib/systemd/system/docker.service

Docker 从 1.12 开始支持通过 /etc/docker/daemon.json 文件管理 Docker daemon 的配置选项。

具体配置说明

默认配置内容如下:

# grep -vE '^#|^$' /etc/sysconfig/docker
OPTIONS='--selinux-enabled --log-driver=journald'
if [ -z "${DOCKER_CERT_PATH}" ]; then
    DOCKER_CERT_PATH=/etc/docker
fi

关于 docker daemon 配置选项,本文主要参考官方文档,最新说明以官方 Daemon CLI reference(dockerd) 为主。

Daemon socket 选项

Docker daemon 可以三种不同类型的 Socket 监听 Docker API 请求:unix,tcp,fd。默认情况下,会创建一个名为 /var/run/docker.sock 的 unix Socket 文件,该文件的访问权限需要是 root 权限或者属于 docker 组。如果有远程访问需求,那么则需要开启 tcp Socket。正常开启 tcp Socket,是没有任何加密和安全认证的,可以通过 HTTPS 等方式加密 tcp Socket,默认不建议开启 tcp Socket。

# ls -l /var/run/docker.sock
srw-rw---- 1 root root 0 Sep 13 00:53 /var/run/docker.sock

默认情况下,没有 docker 用户组,需要手动创建才会有。但是不建议授权非 root 用户到 docker 组,如此该用户就等于拥有 root 权限了(如直接 mount 宿主根目录到容器,即可变相获取 root 用户的权限)。

# groupadd docker
# systemctl restart docker
# ls -l /var/run/docker.sock
srw-rw---- 1 root docker 0 Sep 13 00:59 /var/run/docker.sock    // 注意此时 docker.sock 文件已经属于 docker 用户组了
# usermod -G docker test                                        // 添加 test 用户到 docker 组
# su - test
$ docker ps

参考:Enabling Non-root Users to Run Docker Commands

通过 -H 选项可以指定 Docker daemon 使用的 Socket 类型,默认 unix Socket 方式,通过添加 -H tcp://0.0.0.0:2375 达到使用 tcp Socket 的方式,0.0.0.0 表示监听当前主机所有网络接口。

# grep -vE '^#|^$' /etc/sysconfig/docker
OPTIONS='--selinux-enabled --log-driver=journald -H tcp://0.0.0.0:2375'
if [ -z "${DOCKER_CERT_PATH}" ]; then
    DOCKER_CERT_PATH=/etc/docker
fi
# systemctl restart docker
# netstat -tulnp | grep 2375
tcp6       0      0 :::2375                 :::*                    LISTEN      16288/dockerd-curre
# docker ps
Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
// docker 客户端默认是以 unix socket 连接,因为指定了 tcp Socket,而没有指定 unix Socket,因此直接执行连接失败
# export DOCKER_HOST="tcp://0.0.0.0:2375"   // 设置环境变量,修改 docker 客户端默认连接
# docker ps

指定多种连接:

$ sudo dockerd -H unix:///var/run/docker.sock -H tcp://192.168.59.106 -H tcp://10.10.10.2

Daemon storage-driver 选项

Docker daemon 当前支持以下几种镜像层存储驱动:

  • aufs

  • devicemapper

  • btrfs

  • zfs

  • overlay

  • overlay2

以上关于不同类型的存储驱动,后续会具体介绍,这一章节只介绍基本的存储驱动配置项,针对 CentOS 7 系统则选择使用 devicemapper、overlay、overlay2 居多。当前笔者通过 Docker 安装 的默认存储驱动为 overlay2:

# docker info
Containers: 0
 Running: 0
 Paused: 0
 Stopped: 0
Images: 0
Server Version: 1.13.1
Storage Driver: overlay2
 Backing Filesystem: xfs
 Supports d_type: true
 Native Overlay Diff: false
... ...

用户可以通过添加 --storage-driver 选项设置运行存储驱动,不过更推荐使用 /etc/docker/daemon.json 配置文件配置。

通过添加 --storage-driver 选项指定存储驱动:

# grep -vE '^#|^$' /etc/sysconfig/docker
OPTIONS='--selinux-enabled --log-driver=journald --storage-driver=devicemapper'
if [ -z "${DOCKER_CERT_PATH}" ]; then
    DOCKER_CERT_PATH=/etc/docker
fi
# systemctl restart docker
# docker info
... ...
Storage Driver: devicemapper
 Pool Name: docker-253:0-67599031-pool
 Pool Blocksize: 65.54 kB
 Base Device Size: 10.74 GB
 Backing Filesystem: xfs
 Data file: /dev/loop0
 Metadata file: /dev/loop1
... ...

考虑到 daemon.json 是跨平台的,并且为了和系统初始化脚本配置冲突的问题,所以 Docker 官方推荐使用 daemon.json 方式代替 --storage-driver 选项方式。

移除 --storage-driver 选项,并且在 /etc/docker/daemon.json 文件中添加配置,如果文件不存在则创建即可。

# cat /etc/docker/daemon.json
{
  "storage-driver": "devicemapper"
}
# systemctl restart docker

以上指定存储驱动为 devicemapper,如果不添加其它选项,那么此时属于 loop-lvm 模式,这种模式下因为回环设备的原因,性能比较差,只适用于测试环境下使用。针对生产环境,则建议使用 direct-lvm 模式,后文会专门针对存储驱动做详细介绍。

Docker runtime execution 选项

通过指定 native.cgroupdriver 选项,可以配置容器 cgroups 管理。

# docker info | grep 'Cgroup Driver'       // 可以看到 CentOS7 默认 cgroup 驱动为 systemd
Cgroup Driver: systemd
# cat /usr/lib/systemd/system/docker.service
// CentOS7 的运行时选项是直接写死在 docker.service 文件中的,如果要修改,则需要修改该文件。
... ...
ExecStart=/usr/bin/dockerd-current \
          --add-runtime oci=/usr/libexec/docker/docker-runc-current \
          --default-runtime=oci \
          --authorization-plugin=rhel-push-plugin \
          --containerd /run/containerd.sock \
          --exec-opt native.cgroupdriver=cgroupfs \
          --userland-proxy-path=/usr/libexec/docker/docker-proxy-current \
... ...
# systemctl daemon-reload
# systemctl restart docker
# docker info | grep 'Cgroup Driver'
Cgroup Driver: cgroupfs

如无特别需求,Cgroup Driver 保持默认即可。

Daemon DNS 选项

Docker Registry 相关选项

insecure registries

Docker 认为一个私有仓库要么安全的,要么就是不安全的。以私有仓库 myregistry:5000 为例,一个安全的镜像仓库需要使用 TLS,并且需要拷贝 CA 证书到每台 Docker 主机 /etc/docker/certs.d/myregistry:5000/ca.crt 上。

通过选项 --insecure-registry 可以标识指定私有仓库为不安全的。 如 --insecure-registry myregistry:5000 标识为 myregistry:5000 私有仓库为不安全的,而 --insecure-registry 10.1.0.0/16 则告诉 Docker daemon 所有域名被解析到这个网段中的镜像仓库都被标识为不安全的。一个不安全的镜像只有被标识为不安全的时候,才可以正常的进行 docker pull、push、search 等操作。

lagacy registries

默认情况下,Registry V1 协议是被禁用的,Docker daemon 不会在执行 push、pull 以及 login 操作的时候去尝试通过 V1 协议去连接。可以通过 --disable-legacy-registry=false 启用该选项。需要注意的是,在 Docker 17.12 版本中该选项将会被移除,不再支持 Registry V1。

Docker v17.12 之后 disable-legacy-registry 配置选项不再支持。

Default ulimit settings

选项 --default-ulimit 可以设置所有容器的默认 ulimit 值,通过 --default-ulimit nproc=10240:10240 --default-ulimit nofile=65535:65535 设置容器的 nproc 和 nofile 值。如果该值没有设置,那么 ulimit 相关会继承宿主的设置。如果 docker run 设置 ulimit 相关,则会覆盖默认值,也就是说 docker run 优先级最高。

Daemon configuration file

--config-file 选项用来指定 daemon 的 JSON 格式配置文件,默认 Linux 上 JSON 格式的配置文件为 /etc/docker/daemon.json

以下为所有支持配置在 JSON 文件中的选项:

{
    "authorization-plugins": [],
    "data-root": "",
    "dns": [],
    "dns-opts": [],
    "dns-search": [],
    "exec-opts": [],
    "exec-root": "",
    "experimental": false,
    "storage-driver": "",
    "storage-opts": [],
    "labels": [],
    "live-restore": true,
    "log-driver": "",
    "log-opts": {},
    "mtu": 0,
    "pidfile": "",
    "cluster-store": "",
    "cluster-store-opts": {},
    "cluster-advertise": "",
    "max-concurrent-downloads": 3,
    "max-concurrent-uploads": 5,
    "default-shm-size": "64M",
    "shutdown-timeout": 15,
    "debug": true,
    "hosts": [],
    "log-level": "",
    "tls": true,
    "tlsverify": true,
    "tlscacert": "",
    "tlscert": "",
    "tlskey": "",
    "swarm-default-advertise-addr": "",
    "api-cors-header": "",
    "selinux-enabled": false,
    "userns-remap": "",
    "group": "",
    "cgroup-parent": "",
    "default-ulimits": {},
    "init": false,
    "init-path": "/usr/libexec/docker-init",
    "ipv6": false,
    "iptables": false,
    "ip-forward": false,
    "ip-masq": false,
    "userland-proxy": false,
    "userland-proxy-path": "/usr/libexec/docker-proxy",
    "ip": "0.0.0.0",
    "bridge": "",
    "bip": "",
    "fixed-cidr": "",
    "fixed-cidr-v6": "",
    "default-gateway": "",
    "default-gateway-v6": "",
    "icc": false,
    "raw-logs": false,
    "allow-nondistributable-artifacts": [],
    "registry-mirrors": [],
    "seccomp-profile": "",
    "insecure-registries": [],
    "disable-legacy-registry": false,
    "no-new-privileges": false,
    "default-runtime": "runc",
    "oom-score-adjust": -500,
    "runtimes": {
        "runc": {
            "path": "runc"
        },
        "custom": {
            "path": "/usr/local/bin/my-runc-replacement",
            "runtimeArgs": [
                "--debug"
            ]
        }
    }
}

最后更新于