sre救赎之路

容器清理是每个Docker用户的必修课，但粗暴的清理操作可能引发生产事故。本文将分享一套经过20+企业验证的安全清理方案，助你成为容器空间的"清洁大师"。

优化 Docker 镜像需要从多个维度入手，结合镜像分析工具持续改进。

如何安装和验证 OCI 运行时runc。如何使用ctr命令行工具，结合containerd的 Namespace 概念，管理镜像和容器。如何利用ctr的--mount参数实现基于绑定挂载的数据持久化。如何配置containerd并使用ctr与私有 HTTP 镜像仓库（如 Harbor）进行交互，包括推送和拉取镜像。Docker 与containerd之间的协作关系，以及如何使用ctr在mobyNamespace 下观察和操作由 Docker 管理的容器。

因为宿主环境中的 /tmp 是可读写的，所以容器虽然是只读模式但实际读写的是宿主环境的文件，所以不会报错。以上命令是把容器内部的 /var 和 /root 挂载为临时文件系统，这样就可以进行写入操作了。默认命令创建的容器是可读写的。

Containerd 和 Docker 是容器技术领域的两个核心组件，它们在功能定位、架构设计、性能特点及适用场景上有显著差异。包含 Docker CLI（客户端）、Docker Daemon（守护进程）、Containerd（底层运行时）及 runc（实际创建容器）。：在 Kubernetes 中，可同时使用 Docker 构建镜像，Containerd 作为运行时，兼顾开发便利性与生产效率。Containerd 的简化架构减少了资源消耗和潜在故障点，适合高性能要求的集群环境。

设置磁盘空间阈值告警（如超过 80% 触发清理脚本）。）和合理配置，可有效控制 Docker 磁盘占用。：未配置日志轮转或应用日志输出过多。：镜像层、日志或未清理的容器堆积。参数，或改用非阻塞日志驱动（如。: 容器可写层大小（增量修改）。在容器启动时限制日志大小（监控 Docker 资源。: 容器关联镜像的总大小。通过定期检查（如每周执行。，限制存储大小（适用于。

安装和部署 Docker Compose 的步骤相对简单。以下是在不同操作系统上安装 Docker Compose 的方法，以及如何使用它来部署应用的示例。

使用 命令来启动 文件是一个常见的操作，用于快速部署和管理多容器 Docker 应用。首先，确保系统中已经安装了 Docker Compose。可以使用以下命令来检查 的版本：如果尚未安装，可以从 Docker Compose 的 官方 GitHub 仓库 下载并安装。创建一个 文件，定义多容器应用。以下是一个简单的示例：3. 在命令行中启动服务在包含 文件的目录中，打开命令行或终端，运行以下命令来启动服务：这里的参数解释如下：：启动或重建服务。：以 detached 模式运

安装好Docker后，其是默认指向的。在国内该hub源访问速度异常慢，尤其是大一点的镜像经常出现timeout。我们可以通过切换至国内镜像仓库来解决这一问题。

Overlay网络是一种在物理网络之上构建逻辑网络的技术，可以实现跨主机的容器通信。Overlay网络使用VXLAN协议实现跨主机通信，具有网络隔离、灵活性和安全性等优点，但也存在性能问题和配置复杂的缺点。在Docker中配置Overlay网络需要进行多个步骤，包括创建Overlay网络、加入容器、配置网络驱动和配置Swarm集群等。

通过了解 podman 我们发现其是最理想的解决思路，因为podman 和 docker的命令基本一致。，但对于 mac 系统，需要启动 Docker Desktop 图形界面才能启动守护进程，它却无法在远程终端中打开。因为 docker 有一个守护进程，如果这个守护进程没有起来，就无法使用 docker 命令对容器进行管理。执行 docker images 不再报错。对于 linux 系统这个守护进程是。

默认网络: Docker安装后自动创建bridge、host、none三个网络，可通过。

Dockerfile是用来快速创建自定义镜像的一种文本格式的配置文件，在持续集成和持续部署时，需要使用Dockerfile生成相关应用程序的镜像。

是Docker守护进程的配置文件，它允许系统管理员自定义Docker守护程序的行为。此文件通常位于目录下。通过修改，可以调整Docker守护进程的多种设置，包括网络配置、日志记录、存储驱动等。在bridge：设置默认网桥名称。bip：设置网桥的IP地址和子网掩码。fixed-cidr：设置容器IP地址的范围。docker服务的默认子网为：172.17.0.0/16 ， 如果虚拟机或者物理机的IP地址在该范围内，需要用bip做规避，以避免IP地址冲突问题。

sshd为secure shell 的简称，可以通过网络在主机中开机shell的服务。本章节以各种镜像制作为案例展示通过dockerfile制作容器镜像的过程。centos:7的镜像发现无法使用sshd服务，需要手工添加sshd服务。将容器里面运行的程序及运行环境打包生成新的镜像。a.通过导入操作系统模板文件生成新的镜像。b.使用wget命令导入为本地镜像。c.导入成功后可查看本地镜像信息。2）编辑镜像dockerfile。5）镜像容器启动运行。

假设Linux内核是第0层，那么无论怎么运行Docker，它都是运行于内核层之上的。这个Docker镜像，是一个只读的镜像，位于第1层，它不能被修改或不能保存状态。一个Docker镜像可以构建于另一个Docker镜像之上，这种层叠关系可以是多层的。第1层的镜像层我们称之为基础镜像（Base Image），其他层的镜像（除了最顶层）我们称之为父层镜像（Parent Image）。这些镜像继承了他们的父层镜像的所有属性和设置，并在Dockerfile中添加了自己的配置。Docker镜像通过镜像ID进行识别。

每个镜像都有一个长度为 64 位的 16 进制字符串作为其摘要 digest。Docker 镜像摘要是指镜像的摘要信息，通常被称为镜像的 Digest。它是镜像内容的唯一标识符，类似于 Git 中的 SHA 值，用于确保镜像的完整性和唯一性。摘要是一个由算法计算得出的长字符串，它代表了镜像内容的具体信息，包括镜像层和配置信息。唯一性：Docker 镜像摘要是由 SHA256 算法计算得出的，因此它是唯一的。不同的镜像内容必定会产生不同的摘要值。

在解决"Docker: Error response from daemon: failed to create shim task: OCI runtime"问题之前，我们先来了解一下Docker和OCI runtime的基本概念。Docker是一个开源的应用容器引擎，可以帮助开发者将应用程序和其依赖打包到一个可移植的容器中，并且可以在任何环境中运行。Docker利用了Linux内核的一些特性，如命名空间、控制组和联合文件系统，来提供轻量级的容器化环境。

Mac OS系统，安装了Docker Desktop应用并登录了Docker Hub账号。

docker.sock挂载的容器容易被获取特殊权限，一旦危险进入到docker中，严重影响了宿主机的安全，生产环境中，需要确保docker.sock不被挂载。

docker端口映射

docker实战