以下配置说明,统一以 CentOS 7.3
为系统环境,其它系统版本可能会有所不同。
基本配置文件:
/etc/sysconfig/docker
/etc/sysconfig/docker-storage-setup
/etc/sysconfig/docker-network
/etc/docker/daemon.json
systemd 服务配置:
/usr/lib/systemd/system/docker.service
Docker 从 1.12
开始支持通过 /etc/docker/daemon.json
文件管理 Docker daemon 的配置选项。
默认配置内容如下:
# grep -vE '^#|^$' /etc/sysconfig/dockerOPTIONS='--selinux-enabled --log-driver=journald'if [ -z "${DOCKER_CERT_PATH}" ]; thenDOCKER_CERT_PATH=/etc/dockerfi
关于 docker daemon 配置选项,本文主要参考官方文档,最新说明以官方 Daemon CLI reference(dockerd) 为主。
Docker daemon 可以三种不同类型的 Socket 监听 Docker API 请求:unix,tcp,fd。默认情况下,会创建一个名为 /var/run/docker.sock
的 unix Socket 文件,该文件的访问权限需要是 root 权限或者属于 docker 组。如果有远程访问需求,那么则需要开启 tcp Socket。正常开启 tcp Socket,是没有任何加密和安全认证的,可以通过 HTTPS 等方式加密 tcp Socket,默认不建议开启 tcp Socket。
# ls -l /var/run/docker.socksrw-rw---- 1 root root 0 Sep 13 00:53 /var/run/docker.sock
默认情况下,没有 docker
用户组,需要手动创建才会有。但是不建议授权非 root 用户到 docker 组,如此该用户就等于拥有 root 权限了(如直接 mount 宿主根目录到容器,即可变相获取 root 用户的权限)。
# groupadd docker# systemctl restart docker# ls -l /var/run/docker.socksrw-rw---- 1 root docker 0 Sep 13 00:59 /var/run/docker.sock // 注意此时 docker.sock 文件已经属于 docker 用户组了# usermod -G docker test // 添加 test 用户到 docker 组# su - test$ docker ps
通过 -H
选项可以指定 Docker daemon 使用的 Socket 类型,默认 unix Socket 方式,通过添加 -H tcp://0.0.0.0:2375
达到使用 tcp Socket 的方式,0.0.0.0
表示监听当前主机所有网络接口。
# grep -vE '^#|^$' /etc/sysconfig/dockerOPTIONS='--selinux-enabled --log-driver=journald -H tcp://0.0.0.0:2375'if [ -z "${DOCKER_CERT_PATH}" ]; thenDOCKER_CERT_PATH=/etc/dockerfi# systemctl restart docker# netstat -tulnp | grep 2375tcp6 0 0 :::2375 :::* LISTEN 16288/dockerd-curre# docker psCannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?// docker 客户端默认是以 unix socket 连接,因为指定了 tcp Socket,而没有指定 unix Socket,因此直接执行连接失败# export DOCKER_HOST="tcp://0.0.0.0:2375" // 设置环境变量,修改 docker 客户端默认连接# docker ps
指定多种连接:
$ sudo dockerd -H unix:///var/run/docker.sock -H tcp://192.168.59.106 -H tcp://10.10.10.2
Docker daemon 当前支持以下几种镜像层存储驱动:
aufs
devicemapper
btrfs
zfs
overlay
overlay2
以上关于不同类型的存储驱动,后续会具体介绍,这一章节只介绍基本的存储驱动配置项,针对 CentOS 7 系统则选择使用 devicemapper、overlay、overlay2 居多。当前笔者通过 Docker 安装 的默认存储驱动为 overlay2:
# docker infoContainers: 0Running: 0Paused: 0Stopped: 0Images: 0Server Version: 1.13.1Storage Driver: overlay2Backing Filesystem: xfsSupports d_type: trueNative Overlay Diff: false... ...
用户可以通过添加 --storage-driver
选项设置运行存储驱动,不过更推荐使用 /etc/docker/daemon.json
配置文件配置。
通过添加 --storage-driver
选项指定存储驱动:
# grep -vE '^#|^$' /etc/sysconfig/dockerOPTIONS='--selinux-enabled --log-driver=journald --storage-driver=devicemapper'if [ -z "${DOCKER_CERT_PATH}" ]; thenDOCKER_CERT_PATH=/etc/dockerfi# systemctl restart docker# docker info... ...Storage Driver: devicemapperPool Name: docker-253:0-67599031-poolPool Blocksize: 65.54 kBBase Device Size: 10.74 GBBacking Filesystem: xfsData file: /dev/loop0Metadata file: /dev/loop1... ...
考虑到 daemon.json
是跨平台的,并且为了和系统初始化脚本配置冲突的问题,所以 Docker 官方推荐使用 daemon.json
方式代替 --storage-driver
选项方式。
移除 --storage-driver
选项,并且在 /etc/docker/daemon.json
文件中添加配置,如果文件不存在则创建即可。
# cat /etc/docker/daemon.json{"storage-driver": "devicemapper"}# systemctl restart docker
以上指定存储驱动为 devicemapper,如果不添加其它选项,那么此时属于 loop-lvm
模式,这种模式下因为回环设备的原因,性能比较差,只适用于测试环境下使用。针对生产环境,则建议使用 direct-lvm
模式,后文会专门针对存储驱动做详细介绍。
通过指定 native.cgroupdriver
选项,可以配置容器 cgroups 管理。
# docker info | grep 'Cgroup Driver' // 可以看到 CentOS7 默认 cgroup 驱动为 systemdCgroup Driver: systemd# cat /usr/lib/systemd/system/docker.service// CentOS7 的运行时选项是直接写死在 docker.service 文件中的,如果要修改,则需要修改该文件。... ...ExecStart=/usr/bin/dockerd-current \--add-runtime oci=/usr/libexec/docker/docker-runc-current \--default-runtime=oci \--authorization-plugin=rhel-push-plugin \--containerd /run/containerd.sock \--exec-opt native.cgroupdriver=cgroupfs \--userland-proxy-path=/usr/libexec/docker/docker-proxy-current \... ...# systemctl daemon-reload# systemctl restart docker# docker info | grep 'Cgroup Driver'Cgroup Driver: cgroupfs
如无特别需求,Cgroup Driver 保持默认即可。
选项 | 说明 |
--dns 8.8.8.8 | 设置容器 DNS |
--dns-search example.com | 设置容器 search domain |
Docker 认为一个私有仓库要么安全的,要么就是不安全的。以私有仓库 myregistry:5000
为例,一个安全的镜像仓库需要使用 TLS,并且需要拷贝 CA 证书到每台 Docker 主机 /etc/docker/certs.d/myregistry:5000/ca.crt
上。
通过选项 --insecure-registry
可以标识指定私有仓库为不安全的。 如 --insecure-registry myregistry:5000
标识为 myregistry:5000
私有仓库为不安全的,而 --insecure-registry 10.1.0.0/16
则告诉 Docker daemon 所有域名被解析到这个网段中的镜像仓库都被标识为不安全的。一个不安全的镜像只有被标识为不安全的时候,才可以正常的进行 docker pull、push、search 等操作。
默认情况下,Registry V1 协议是被禁用的,Docker daemon 不会在执行 push、pull 以及 login 操作的时候去尝试通过 V1 协议去连接。可以通过 --disable-legacy-registry=false
启用该选项。需要注意的是,在 Docker 17.12 版本中该选项将会被移除,不再支持 Registry V1。
Docker v17.12 之后 disable-legacy-registry
配置选项不再支持。
选项 --default-ulimit
可以设置所有容器的默认 ulimit 值,通过 --default-ulimit nproc=10240:10240 --default-ulimit nofile=65535:65535
设置容器的 nproc 和 nofile 值。如果该值没有设置,那么 ulimit 相关会继承宿主的设置。如果 docker run 设置 ulimit 相关,则会覆盖默认值,也就是说 docker run 优先级最高。
--config-file
选项用来指定 daemon 的 JSON 格式配置文件,默认 Linux 上 JSON 格式的配置文件为 /etc/docker/daemon.json
。
以下为所有支持配置在 JSON 文件中的选项:
{"authorization-plugins": [],"data-root": "","dns": [],"dns-opts": [],"dns-search": [],"exec-opts": [],"exec-root": "","experimental": false,"storage-driver": "","storage-opts": [],"labels": [],"live-restore": true,"log-driver": "","log-opts": {},"mtu": 0,"pidfile": "","cluster-store": "","cluster-store-opts": {},"cluster-advertise": "","max-concurrent-downloads": 3,"max-concurrent-uploads": 5,"default-shm-size": "64M","shutdown-timeout": 15,"debug": true,"hosts": [],"log-level": "","tls": true,"tlsverify": true,"tlscacert": "","tlscert": "","tlskey": "","swarm-default-advertise-addr": "","api-cors-header": "","selinux-enabled": false,"userns-remap": "","group": "","cgroup-parent": "","default-ulimits": {},"init": false,"init-path": "/usr/libexec/docker-init","ipv6": false,"iptables": false,"ip-forward": false,"ip-masq": false,"userland-proxy": false,"userland-proxy-path": "/usr/libexec/docker-proxy","ip": "0.0.0.0","bridge": "","bip": "","fixed-cidr": "","fixed-cidr-v6": "","default-gateway": "","default-gateway-v6": "","icc": false,"raw-logs": false,"allow-nondistributable-artifacts": [],"registry-mirrors": [],"seccomp-profile": "","insecure-registries": [],"disable-legacy-registry": false,"no-new-privileges": false,"default-runtime": "runc","oom-score-adjust": -500,"runtimes": {"runc": {"path": "runc"},"custom": {"path": "/usr/local/bin/my-runc-replacement","runtimeArgs": ["--debug"]}}}