1 daemon.json文件概述

daemon.json是Docker守護進程的配置文件，它允許系統(tǒng)管理員自定義Docker守護程序的行為。此文件通常位于/etc/docker/目錄下。

通過修改daemon.json，可以調(diào)整Docker守護進程的多種設置，包括網(wǎng)絡配置、日志記錄、存儲驅(qū)動等。

2 daemon.json文件結(jié)構(gòu)

daemon.json文件是一個JSON格式的文件，包含鍵值對來設置Docker守護進程的參數(shù)。

以下是一些常見的配置項：

• data-root: Docker數(shù)據(jù)目錄，默認為/var/lib/docker。
• exec-root: Docker執(zhí)行狀態(tài)文件的存儲路徑，默認為/var/run/docker。
• log-driver: Docker日志驅(qū)動類型，默認為json-file。
• log-level: Docker日志記錄級別，如debug、info、warn、error、fatal。
• insecure-registries: 可以通過HTTP連接的鏡像倉庫地址。
• registry-mirrors: 鏡像倉庫加速地址。
• storage-driver: Docker存儲驅(qū)動類型，推薦overlay2。
• live-restore: 是否啟用“實時恢復”功能，允許Docker在更新或重啟時不終止運行中的容器。

3 daemon.json配置優(yōu)化建議

3.1 鏡像加速

在國內(nèi)使用Docker時，由于訪問Docker Hub可能存在速度慢或不穩(wěn)定的問題，建議配置鏡像加速器。

通過在daemon.json中添加如下配置，可以顯著提高拉取鏡像的速度：

{
  "registry-mirrors": [
    "https://mirrors.aliyun.com",
    "https://docker.mirrors.ustc.edu.cn",
    "https://hub-mirror.c.163.com"
  ]}

3.2 日志管理

根據(jù)需要選擇合適的日志驅(qū)動，例如json-file、syslog等。同時，可以通過設置log-level來控制日志的詳細程度，例如設置為warn可以減少日志文件的大小。

Docker支持多種日志驅(qū)動程序，每種驅(qū)動程序都設計用于不同的使用場景和需求。以下是一些常用的日志驅(qū)動：

• json-file：這是默認的日志驅(qū)動，它將日志信息以JSON格式寫入文件?？梢酝ㄟ^log-opts來控制日志文件的大小和數(shù)量。
• syslog：將日志發(fā)送到syslog守護進程，適用于傳統(tǒng)的日志系統(tǒng)集成。
• journald：將日志發(fā)送到systemd的journal，適用于systemd管理的系統(tǒng)。
• gelf：將日志發(fā)送到Graylog Extended Log Format (GELF)服務器。
• fluentd：將日志發(fā)送到Fluentd聚合和處理日志的服務器。
• awslogs：將日志發(fā)送到Amazon CloudWatch Logs，適用于AWS環(huán)境。

在daemon.json中設置日志驅(qū)動的示例：

{
  "log-driver": "json-file"
}

log-opts用于為選定的日志驅(qū)動配置額外的選項。對于json-file驅(qū)動，最常見的選項包括：

• max-size：每個日志文件的最大大小。當文件超過這個大小時，Docker將創(chuàng)建新的日志文件。
• max-file：保留的日志文件數(shù)量。當達到這個數(shù)量時，Docker將開始刪除最舊的日志文件。

設置log-opts的示例：

{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3"
  }
}

在這個示例中，每個日志文件的最大大小被設置為10MB，并且最多保留3個日志文件。

日志級別的控制（log-level）

log-level選項允許你設置Docker守護進程的日志記錄級別?？捎玫募墑e包括：

• debug：記錄最詳細的信息，包括調(diào)試信息。
• info：記錄常規(guī)信息，如容器的啟動和停止。
• warn：記錄可能的問題，但不一定影響操作。
• error：記錄錯誤信息，表明有操作失敗。
• fatal：記錄嚴重錯誤，通常是不可恢復的。

設置log-level的示例：

{
  "log-level": "warn"
}

優(yōu)化建議

• 合理配置日志文件大小和數(shù)量：避免日志文件無限制增長占用過多磁盤空間。
• 設置合適的日志級別：在生產(chǎn)環(huán)境中，通常設置為info或warn級別，以避免記錄過多的信息

3.3 存儲驅(qū)動

推薦使用overlay2作為存儲驅(qū)動，因為它在性能和功能上較為優(yōu)秀。可以通過storage-opts來設置存儲驅(qū)動的額外選項，例如：

配置示例：

{
  "storage-driver": "overlay2",
  "storage-opts": [
    "overlay2.override_kernel_check=true",
    "overlay2.size=100G"
  ]
}

在這個示例中，overlay2.size設置為100G，限制了overlay2存儲驅(qū)動可以使用的最大空間。

另外的存儲驅(qū)動如下所示：

• Device Mapper
• AUFS
• Btrfs
• ZFS

3.4 網(wǎng)絡配置

如果需要自定義網(wǎng)絡配置，可以在daemon.json中設置bip和fixed-cidr等參數(shù)來指定網(wǎng)橋的IP地址和子網(wǎng)。

Docker的網(wǎng)絡配置允許你定義和管理容器的網(wǎng)絡接口，網(wǎng)絡驅(qū)動，以及容器如何連接到外部網(wǎng)絡。以下是一些關鍵的網(wǎng)絡配置選項和概念。

a. 網(wǎng)絡驅(qū)動

Docker支持多種網(wǎng)絡驅(qū)動，用于創(chuàng)建和管理容器網(wǎng)絡。以下是一些常用的網(wǎng)絡驅(qū)動：

• bridge：默認網(wǎng)絡驅(qū)動，創(chuàng)建一個虛擬網(wǎng)橋，容器連接到這個網(wǎng)橋上，并通過NAT訪問外部網(wǎng)絡。
• host：容器共享宿主機的網(wǎng)絡命名空間，容器的網(wǎng)絡設置與宿主機相同。
• none：不配置網(wǎng)絡，容器擁有自己的網(wǎng)絡棧，但不進行任何網(wǎng)絡配置。
• overlay：用于跨主機通信的網(wǎng)絡驅(qū)動，常用于Docker Swarm或Kubernetes等集群環(huán)境中。

b. 自定義網(wǎng)橋配置

在daemon.json中，你可以自定義默認網(wǎng)橋的一些屬性：

• bridge：設置默認網(wǎng)橋名稱。
• bip：設置網(wǎng)橋的IP地址和子網(wǎng)掩碼。
• fixed-cidr：設置容器IP地址的范圍。

配置示例：

{
  "bridge": "docker0",
  "bip": "192.168.1.1/24",
  "fixed-cidr": "192.168.1.0/24"
}

docker服務的默認子網(wǎng)為：172.17.0.0/16 ， 如果虛擬機或者物理機的IP地址在該范圍內(nèi)，需要用bip做規(guī)避，以避免IP地址沖突問題。

c. Insecure registries

如果需要從HTTP注冊表拉取鏡像，可以配置Docker以允許不安全的注冊表：

{
  "insecure-registries": ["http://my-insecure-registry.local:5000"]
}

d. DNS配置

可以為Docker守護進程設置自定義的DNS服務器和搜索域：

• dns：指定一個或多個DNS服務器地址。
• dns-search：指定DNS搜索域。

配置示例：

{
  "dns": ["8.8.8.8", "8.8.4.4"],
  "dns-search": ["example.com"]
}

e. IP地址管理

• ip：設置容器端口映射時使用的默認IP地址。
• ip-forward：啟用或禁用IP轉(zhuǎn)發(fā)。
• ip-masq：啟用或禁用IP偽裝。

配置示例：

{
  "ip": "10.0.0.1",
  "ip-forward": true,
  "ip-masq": true
}

f. IPv6配置

• ipv6：啟用IPv6網(wǎng)絡支持。

配置示例：???????

{
  "ipv6": true
}

g. 使用daemon.json配置網(wǎng)絡

在daemon.json中配置網(wǎng)絡時，可能需要重啟Docker服務以使配置生效：???????

systemctl daemon-reload
systemctl restart docker

實踐建議

• 選擇適合的網(wǎng)絡驅(qū)動：根據(jù)應用需求和部署環(huán)境選擇合適的網(wǎng)絡驅(qū)動。
• 配置網(wǎng)橋：如果使用默認的網(wǎng)橋網(wǎng)絡，考慮自定義網(wǎng)橋配置以滿足特定的網(wǎng)絡需求。
• 安全性：避免在生產(chǎn)環(huán)境中使用不安全的注冊表，確保所有通信都通過HTTPS進行。
• DNS管理：確保容器能夠解析外部域名，考慮配置自定義DNS服務器和搜索域。
• 監(jiān)控網(wǎng)絡性能：監(jiān)控網(wǎng)絡流量和性能，確保網(wǎng)絡配置不會導致性能瓶頸。

通過合理配置網(wǎng)絡，可以確保容器能夠正確地與其他容器和外部網(wǎng)絡通信，同時保持網(wǎng)絡的安全性和性能。

3.5 安全配置

如果需要加強安全性，可以設置tls、tlscacert、tlscert、tlskey和tlsverify等參數(shù)來啟用TLS加密和認證。

3.6 實時恢復

概念介紹

實時恢復（Live Restore）是Docker的一個特性，它允許在Docker守護進程重啟或崩潰后，自動重啟運行中的容器。這提高了容器化應用的可用性和彈性，因為它們不需要人工干預即可恢復運行。

配置實時恢復

實時恢復功能可以通過daemon.json配置文件中的live-restore選項來啟用：???????

{
  "live-restore": true
}

當設置為true時，Docker會在守護進程啟動時嘗試重啟所有之前運行中的容器。

優(yōu)化建議

• 始終啟用實時恢復：在生產(chǎn)環(huán)境中，建議總是啟用實時恢復功能，以確保容器在Docker守護進程重啟后能夠自動恢復。
• 合理配置容器重啟策略：除了使用實時恢復外，還可以在運行容器時使用--restart標志設置重啟策略，如always、on-failure、unless-stopped等，以適應不同的需求。
• 監(jiān)控容器狀態(tài)：使用Docker提供的資源或第三方工具監(jiān)控容器狀態(tài)，確保它們按預期運行，并在出現(xiàn)問題時及時響應。
• 日志記錄：配置適當?shù)娜罩居涗浖墑e和驅(qū)動，以便在容器重啟時能夠查看相關日志，分析原因。
• 資源限制：對容器設置資源限制（如內(nèi)存、CPU），防止容器消耗過多資源導致系統(tǒng)不穩(wěn)定。
• 定期維護：定期維護和更新容器，確保它們使用最新的安全補丁和功能。
• 測試：在生產(chǎn)環(huán)境部署實時恢復之前，應在測試環(huán)境中進行充分測試，確保它按預期工作，并且不會引入新的問題。
• 配置文件管理：將daemon.json文件納入版本控制系統(tǒng)，以便跟蹤更改和回滾。
• 使用Docker Swarm或Kubernetes：對于大規(guī)模容器部署，考慮使用Docker Swarm或Kubernetes等容器編排工具，它們提供了更高級的容器管理和恢復功能。
• 文檔和培訓：確保團隊成員了解實時恢復的工作原理和配置方法，以便在需要時能夠快速有效地使用此功能。

通過這些優(yōu)化建議，可以確保Docker容器在面對守護進程重啟或崩潰時具有更好的彈性和穩(wěn)定性。生產(chǎn)環(huán)境中推薦配置。

4 配置文件修改注意事項

在修改daemon.json文件后，需要執(zhí)行來使配置生效。

systemctl daemon-reload
systemctl restart docker

• 確保JSON格式正確，錯誤的格式會導致Docker守護進程無法啟動。
• 根據(jù)實際需求和環(huán)境來調(diào)整配置，避免不必要的資源浪費。

5 總結(jié)

通過合理配置daemon.json文件，可以優(yōu)化Docker的使用體驗，提高效率和安全性。

在生產(chǎn)環(huán)境中根據(jù)具體需求進行細致的配置和測試，確保系統(tǒng)的穩(wěn)定性和性能。

如：data-root這個默認路徑改成磁盤空間較大的目錄，而非默認的/var/lib/docker

最后，由于Docker的版本更新可能會引入新特性或改變某些配置項的行為，因此還需要參考最新的官方文檔來獲取最新的信息。

比如：Docker的實時恢復（Live Restore）功能是在1.10版本中引入的。

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論