K8S环境中Docker运行时占用文件定位清理

K8S中Docker磁盘占用清理
原创 已于 2025-11-23 13:13:46 修改 · 666 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #运维

于 2025-11-23 11:28:58 首次发布

/var/lib/docker/overlay2/是 Docker 使用 Overlay2 存储驱动时的核心目录,理解了它,就能更好地管理 Docker 的磁盘空间和容器文件系统。下面这个表格汇总了它的关键组成部分和作用。

目录

1. /var/lib/docker/overlay2/目录结构

2. 工作原理与关键概念

3. 日常管理与排查

3.1 查看目录占用空间

3.2 关联目录与容器

3.3 安全清理空间

3.4 理解"孤儿层"(Orphaned Layers)

1. /var/lib/docker/overlay2/目录结构

组件名称

类型

作用描述

镜像/容器层目录​ (<layer-id>)

目录

存储每个镜像层或容器可写层的实际内容,目录名由哈希值唯一标识。

diff目录

子目录

存放该层相对于其父层所有新增或修改的文件。对于容器,所有写入操作都保存在其可写层的 diff目录中。

merged目录

子目录

OverlayFS 将下层(lowerdir)和上层(upperdir,即容器的 diff)联合挂载后形成的统一视图,容器运行时看到的文件系统就源于此。

work目录

子目录

OverlayFS 内部使用的工作目录,用于确保文件操作(如拷贝)的原子性,切勿手动修改。

l目录

目录

包含许多软链接,指向各层的 diff目录。主要目的是缩短路径名,避免因路径过长而超出系统挂载参数的长度限制。

lower文件

文件

存在于各层目录中,是一个文本文件,内容记录了该层所依赖的所有下层镜像的ID,明确了层的继承关系。

link文件

文件

存在于各层目录中,包含一个较短的随机字符串,与 l目录中的软链接名称相对应。

2. 工作原理与关键概念

了解目录结构后,我们来看看 Overlay2 是如何运作的。

  • 分层与联合挂载:Overlay2 是一种联合文件系统。它将一个可读写层(upperdir,即容器的 diff目录)​ 和一个或多个只读层(lowerdir,即镜像层)​ 合并起来,通过 merged目录提供一个统一的视图。容器看到的是所有层文件叠加后的结果。

  • 写时复制(Copy-on-Write):当你启动一个容器后,所有对容器文件系统的修改都只发生在容器的可写层(upperdir)。如果你要修改一个存在于下层只读镜像层中的文件,Overlay2 会先将这个文件复制到容器的可写层,然后再进行修改。这就是“写时复制”机制,它保证了镜像层的不可变性,使得多个容器可以安全地共享同一个基础镜像。

3. 日常管理与排查

掌握这些知识能帮助你解决实际问题。

3.1 查看目录占用空间

当磁盘空间告急时,你可以使用以下命令找出 overlay2下占用空间最大的目录:

sudo du -h -d 1 /var/lib/docker/overlay2 | sort -rh | head -n 10

3.2 关联目录与容器

找到大目录后,可以用这个命令反查它属于哪个容器(将 你的目录名替换为实际目录名):

docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Id}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep "你的目录名"

3.3 安全清理空间

切勿直接手动删除 overlay2目录下的子目录或文件,这会导致数据不一致甚至容器崩溃。正确的清理方式是使用 Docker 自带的命令:

# 清理所有未使用的镜像、容器、网络和构建缓存
docker system prune -a
# 仅清理悬空(未被任何镜像引用)的镜像层
docker image prune

3.4 理解"孤儿层"(Orphaned Layers)

        有时你可能会发现一些较大的目录无法通过 docker inspect关联到任何正在运行的容器。这些可能是“孤儿层”,通常由容器未正确清理、Docker 进程异常退出等原因留下。在确认这些层确实无用后,上述 docker system prune命令通常可以安全地清理它们。

岚叔运维
关注
k8s-docker overlay空间占用增长快
隔壁老瓦的专栏
01-24 3324
查询容器的大小 docker ps -a 统计docker 存储目录大小 du -sh /var/docker/
K8S环境中Containerd运行占用文件定位清理
最新发布
lmzf2011的专栏
11-23 394
是 containerd 使用​ 作为存储驱动,用于管理容器和镜像文件系统​ 的核心位置。
k8sdocker容器
Crazy博客
08-15 4490
镜像,就是将容器的初始化环境固化下来,将运行进程所需要的文件系统、依赖库、环境变量、启动参数等打包整合到一起,保存成一个静态的文件容器环境可以通过镜像快速重建容器,应用程序看到的就是一致的运行环境容器化应用,也就是应用程序不直接与操作系统去打交道,而是将应用程序打包成镜像,再交给容器环境运行镜像与容器的关系还可以用"序列化"和"反序列化"来理解,镜像就是序列化到磁盘的数据,而容器是反序列化后内存中的对象。......
k8sdocker关联目录占用空间太大
康小虎的博客
04-10 1476
今天突然磁盘满了,查看了一下,都是k8sdocker关联的目录占用太大(/var/lib/docker/overlay2和/data/registry/docker/registry/v2/blobs/sha256),使用第一种方式删除了悬空镜像,清理了19G的空间(/var/lib/docker/overlay2),其它清理命令没有使用,以备后用。2、删除所有未使用镜像和悬空镜像。删除所有状态为dead的容器
K8s && Docker 相关操作指令
RSQ博客
12-28 3555
K8s statefulset 使一个控制器中不同pod挂载不同目录(不用pv/pvc存储) 要想实现这种方法,可以才contianers的二级字段中使用subPathExpr字段,这个字段可以引用变量
k8s & docker空间使用分析与清理
manwufeilong的博客
12-27 3691
使用 Docker 运行业务一段间后,可能会出现宿主节点的磁盘容量占用高,导致宿主机磁盘空间不足等异常,对业务造成影响。本文对 Docker 的空间占用进行汇总分析,以及对应的清理操作进行说明,希望能帮到大家~在日常使用中,安装docker后做好优化配置工作,如配置json log大小及文件限制,定期清理无用的容器和镜像,可以减少docker 空间占用导致宿主机磁盘空间不够导致的各种问题。当遇到以上措施无法处理的情况的候,要灵活使用docker system df -v的命令进行故障排查分析。
K8s 集群运行:从 Docker 升级到 Containerd
HULK一线技术杂谈
05-20 712
修改完成后,集群会升级master节点,等待master节点升级完成,原有的master上的ds的 pods 默认会重新创建;在重建过程中,对于一些 其他pod,可能需要人工干预去重建,然后在清理docker运行下的残留进程。容器运行的升级不仅是技术组件的简单替换,更是云原生架构持续进化的必经之路。说明:我们公司使用rancher来管理和搭建集群,rancher本身是不支持指定节点来滚动升级的,我们二开了rancher,增加了指定节点来升级节点kubelet、kube-proxy等组件。
使用kubeadm安装k8s1.23+docker20
weixin_43991457的博客
05-12 2047
dbus 是很多系统服务的基础通信依赖(NetowrkManager,network都是依赖于dbus服务),一旦它崩溃,很多 daemon 都会随之崩,导致操作系统异常。C、应该将SELINUX=disabled,改为SELINUX=permissive,不是完全关闭,而是日志记录但不阻断;这在很多生产环境中使用得非常多,安全性和兼容性之间折中。系统功能不会受限,但仍能记录潜在的访问违例(供审计使用)。
k8s面试题大全(持续更新中)
热门推荐
MssGuo的博客
06-23 11万+
本篇模拟面试官提问的各种dockerk8s问题,意在提高面试通过率。
K8SK8S自动化运维容器Docker集群
Katie_ff的博客
08-31 1755
本文介绍了Kubernetes的概念,为什么要使用K8S以及它的作用及功能;K8s的不同的特性的相关介绍,K8S的集群架构介绍、核心组件的具体作用、功能,架构的工作流程及架构原理,相关标签的介绍等
docker清理大杀器/docker的overlay、overlay2文件占用磁盘太大的解决办法
08-27
本文讲述了如何解决 Docker 中的 overlay 和 overlay2 文件占用磁盘太大的问题,并提供了相应的解决方案。同,文章也附带了 Docker 配置 overlay 存储驱动的前提条件和步骤。 一、 Docker 中的 overlay 和 ...
安装k8s1.27版本集群,兼容docker,不适用container
04-28
/var目录:通常存放k8s的日志文件,临文件和挂载点,随着间推移会积累,导致磁盘空间占用 清理日志文件: 设置日志文件的保留策略,例如使用 logrotate 工具定期清理日志文件。 编辑 /etc/logrotate.d/kubelet ...
k8s自动化运维八-如何清理docker存储的大文件
知识分享官
09-17 1400
可通过执行docker system prune 命令可用于清理磁盘,删除关闭的容器、无用的数据卷和网络,以及dangling镜像(即无tag的镜像)2、知道了是哪个容器之后,进入到该容器目录,其中若有容器日志大文件,清空即可。最终定位到./diff/app/logs/这个目录下的文件比较大。这个文件下是应用的日志目录,对应到pod容器里面的这些日志。里面都是容器,每启动一个容器便会在这里记录。1、查找占用空间最大的目录是属于哪个容器的。承接上文k8s自动化运维七。然后把大的日志文件清空即可。
Docker性能
2509_93939147的博客
11-20 328
记得有一次,我们有个容器内存泄漏,没设限制,结果把宿主机搞崩了,事后加了监控才稳住。比如,在docker run的候加个--cpus 1.5,就能让容器最多用1.5个核心,避免它贪心抢资源。另外,CPU亲和性也很重要,通过--cpuset-cpus把容器绑定到特定核心,能减少上下文切换,提升缓存命中率。比如,有一次我们没设CPU份额,结果一个高负载容器把其他服务的资源全吞了,整个集群差点瘫痪。如果应用对网络要求高,可以考虑用host网络模式,让容器直接使用宿主机网络栈,省去一层NAT,性能提升明显。
部署在windows的docker中的dify知识库存储位置
2501_93651177的博客
11-21 516
在Windows系统的Docker中部署Dify,知识库存储分为两部分:文件数据(包括文档、向量等)存储在宿主机E:\dify-1.1.3\docker\volumes\app\storage\upload_files目录下;元数据(如配置信息)则保存在PostgreSQL数据库中,数据库文件位于宿主机E:\dify-1.1.3\docker\volumes\db\data\pgdata路径。文件数据由系统自动生成,元数据通过数据库管理知识库配置关系。
docker挂载rocketmq(5.0)
雅心小筑
11-20 240
【代码】docker挂载rocketmq(5.0)
Docker入门
2509_93946429的博客
11-20 140
镜像好比安装光盘——只读模板,里面塞满了应用运行所需的一切;举个例子:你从Docker Hub拉个Nginx镜像(就像下载软件),用命令启动后,它就变成了活生生的容器(就像安装好的软件在运行)。而Docker直接复用宿主机的内核,只打包应用和依赖库,体积小到以MB计。比如你要部署一个Python网站,用Docker只需把代码、Python解释器、Flask框架打成一个镜像,扔到服务器秒级启动。下次再遇到环境冲突,不妨笑着打开终端,敲一句——你会发现,从前焦头烂额的问题,现在不过是喝口茶的功夫。
Docker视频
2509_93945628的博客
11-20 335
对于视频处理来说,这点特别实用。但用Docker,你可以直接拉个现成的镜像,像ffmpeg官方镜像,然后一条命令就能运行,不用担心本地环境乱糟糟的。最后,推荐几个实用的Docker镜像,除了FFmpeg,还有像OpenCV的镜像,适合做计算机视觉项目;举个例子,一个简单的视频分析流水线:先用FFmpeg容器提取视频帧,再用Python容器跑图像识别脚本,结果存到PostgreSQL容器里。另外,视频文件通常比较大,记得优化存储,可以用数据卷(volumes)或者绑定挂载来管理,别让容器一删数据就没了。
Docker增强现实开发
2509_93942818的博客
11-20 247
比如,你用Unity开发一个AR应用,可能需要集成不同的AR插件,还要处理摄像头数据和空间定位。而Docker容器里,你可以预先定义好所有依赖,从系统库到SDK版本,一键部署,环境一致性立马提升。总之,Docker为AR开发带来了可移植性和效率的提升。未来,随着边缘计算和5G发展,Docker在AR领域的应用可能会更深入,比如结合Kubernetes做大规模AR服务部署。比如,在GitHub Actions或Jenkins里集成Docker,每次代码提交后自动构建新镜像,推到注册表,再部署到测试设备上。
k8sdocker 日志
03-25
### Kubernetes 和 Docker 的日志管理与监控最佳实践 #### 日志收集 在容器环境中,日志管理是一个重要的组成部分。对于 Kubernetes 和 Docker 来说,它们的日志处理方式有所不同。 - **Docker** 当运行一个 Docker 容器,默认情况下标准输出 (`stdout`) 和错误输出 (`stderr`) 被重定向到 `json-file` 驱动程序中[^3]。这意味着所有的日志都会被存储在一个 JSON 文件中,并可以通过命令如 `docker logs <container_id>` 查看。然而,在生产环境中,这种默认方法可能不够高效,因此推荐使用集中化的日志解决方案,比如 Fluentd 或 Logstash 将日志发送至 Elasticsearch 进行分析和检索[^4]。 - **Kubernetes** Kubernetes 中的日志主要分为两部分:容器日志和节点级日志。容器内的应用程序可以直接打印到 `stdout`/`stderr`,这些数据会被 kubelet 自动捕获并保存为文件。为了更有效地管理和查询大规模集群中的日志,通常会集成第三方工具链(ELK Stack, EFK Stack),通过 DaemonSet 在每个节点上运行 fluentd 实例采集日志[^1]。 #### 日志管理 除了简单的日志记录外,还需要考虑如何长期保留、轮转以及访问控制等问题: - 对于 **短期需求** ,可以利用本地磁盘空间配合定期清理机制;而对于 **长期存档** 则建议上传至云端对象存储服务或者专用数据库。 - 设置合理的日志级别过滤不必要的调试信息减少资源消耗的同也便于后续排查问题所在位置[^2]。 #### 监控方案 有效的性能监测能够帮助运维团队快速响应异常状况从而保障系统的稳定性。以下是针对两者的一些常见做法: - 使用 Prometheus 结合 Grafana 可视化面板展示关键指标变化趋势图谱 。Prometheus 支持 pull-based 数据获取模式同也兼容 pushgateway 方便临任务报告其状态更新情况给 master server 记录下来以便进一步诊断潜在隐患点位。 - Node Exporter 提供关于 Linux 主机层面的基础统计数值例如 CPU利用率内存占用率等等重要参数用于评估整体健康程度是否处于正常范围之内。 ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: prometheus-deployment spec: replicas: 1 selector: matchLabels: app: prometheus template: metadata: labels: app: prometheus spec: containers: - name: prometheus-container image: prom/prometheus:v2.30.3 ports: - containerPort: 9090 ``` 上述 YAML 片段展示了如何创建一个基本的 Prometheus deployment 来启动相应的 pod 并监听指定端口上的请求流量来进行抓取采样操作过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值