中英文网站 程序,要建立网站怎么建立,做旅游网站用什么颜色,山西建设银行招聘网站1.docker 存储引擎
Overlay#xff1a; 一种Union FS文件系统#xff0c;Linux 内核3.18后支持
Overlay2#xff1a;Overlay的升级版#xff0c;docker的默认存储引擎#xff0c;需要磁盘分区支持d-type功能#xff0c;因此需要系统磁盘的额外支持。
关于 d-type 传送…1.docker 存储引擎
Overlay 一种Union FS文件系统Linux 内核3.18后支持
Overlay2Overlay的升级版docker的默认存储引擎需要磁盘分区支持d-type功能因此需要系统磁盘的额外支持。
关于 d-type 传送门 docker详解介绍基础操作 二-CSDN博客
由于centos8及ubuntu1604版本均支持其他引擎就不展开说明了
2.docker优化配置
注新建容器有效优化前的容器不生效
1docker优化
优化 Docker 的配置文件通常是 /etc/docker/daemon.json可以显著提高 Docker 的性能和安全性。以下是一些详细的配置选项和解释帮助你根据具体需求进行优化。 ①. 存储驱动优化 选择合适的存储驱动
Docker 使用存储驱动来管理容器的文件系统。选择合适的存储驱动可以提高性能。 overlay2这是默认的存储驱动适用于大多数情况。它提供了良好的性能和较低的磁盘使用率。
{storage-driver: overlay2}
devicemapper适用于某些特定的存储设备但性能可能不如 overlay2。 {storage-driver: devicemapper}
配置存储选项
对于 overlay2可以配置一些高级选项例如 size 和 mountopt。
{storage-driver: overlay2,storage-opts: [overlay2.size10G,overlay2.mountoptnodev]
}
overlay2.size设置每个容器的文件系统大小限制。 overlay2.mountopt设置挂载选项例如 nodev可以禁用设备文件的挂载。
②. 日志驱动和日志大小限制
限制容器的日志大小可以防止日志文件占用过多磁盘空间。
{log-driver: json-file,log-opts: {max-size: 10m,max-file: 3}
}
log-driver指定日志驱动默认是 json-file。 max-size设置每个日志文件的最大大小。 max-file设置日志文件的最大数量。
③. DNS 配置
优化 DNS 配置可以提高容器的网络性能。
{dns: [8.8.8.8, 8.8.4.4],dns-opts: [ndots:2, timeout:2, attempts:2]
}
dns指定 DNS 服务器地址。 dns-opts设置 DNS 查询选项例如 ndots、timeout 和 attempts。 ④. 网络配置
优化网络配置可以提高容器的网络性能和安全性。
{iptables: true,ip-forward: true,ip-masq: true,userland-proxy: false,bridge: docker0,fixed-cidr: 172.17.0.0/16,mtu: 1500
}
iptables启用或禁用 iptables 规则。 ip-forward启用 IP 转发。 ip-masq启用 NAT 转发。 userland-proxy禁用用户态代理使用内核态代理。 bridge指定默认的网桥接口。 fixed-cidr指定固定的 CIDR 范围。 mtu设置最大传输单元MTU。
⑤. 安全配置
启用安全选项可以提高容器的安全性。
{security-opt: [apparmorunconfined,seccompunconfined],cgroup-parent: /docker-cgroups
}
apparmor配置 AppArmor 安全策略。 seccomp配置 Seccomp 安全策略。 cgroup-parent指定 cgroup 的父目录。
⑥. 资源限制
限制 Docker 守护进程的资源使用可以防止其占用过多系统资源。
{default-ulimits: {nofile: {Name: nofile,Hard: 65536,Soft: 65536}},live-restore: true
}
default-ulimits设置默认的资源限制。 live-restore启用实时恢复以便在 Docker 守护进程重启时保持容器运行。
⑦. 实验性功能
启用实验性功能可以尝试新的特性和改进但需要注意这些功能可能不稳定。
{experimental: true
}
⑧. 镜像加速
使用镜像加速器可以加快镜像的下载速度。
{registry-mirrors: [https://mirror.example.com]
}
registry-mirrors指定镜像加速器的 URL。 ⑨. 高级配置
数据根目录
指定 Docker 数据的根目录可以提高磁盘性能。
{data-root: /mnt/docker-data
}
data-root指定 Docker 数据的根目录。
代理配置
配置 HTTP 和 HTTPS 代理以便 Docker 守护进程可以通过代理访问互联网。
{http-proxy: http://proxy.example.com:8080,https-proxy: https://proxy.example.com:8080,no-proxy: localhost,127.0.0.1,.example.com
}
http-proxyHTTP 代理的 URL。 https-proxyHTTPS 代理的 URL。 no-proxy不需要通过代理访问的主机列表。
保存配置文件后重启 Docker 服务以使更改生效。
sudo systemctl daemon-reload systemctl restart docker
⑩开启远程连接
开启 Docker 的远程连接功能可以让你从其他机器上通过 API 或 CLI 管理 Docker 守护进程。以下是如何配置 Docker 以允许远程连接的详细步骤。
1. 修改 Docker 配置文件
Docker 的配置文件通常是 /etc/docker/daemon.json。你需要在这个文件中添加或修改 hosts 配置项以允许远程连接。
1.1 打开配置文件
使用你喜欢的文本编辑器打开 /etc/docker/daemon.json 文件
sudo vim /etc/docker/daemon.json 1.2 添加或修改 hosts 配置
在 daemon.json 文件中添加或修改 hosts 配置项以允许远程连接。例如如果你想允许所有 IP 地址通过 TCP 连接到 Docker 守护进程可以使用以下配置
{hosts: [unix:///var/run/docker.sock, tcp://0.0.0.0:2375]
}
unix:///var/run/docker.sock本地 Unix 套接字用于本地连接。 -tcp://0.0.0.0:2375允许所有 IP 地址通过 TCP 端口 2375 连接到 Docker 守护进程。
如果你只想允许特定的 IP 地址连接可以使用以下配置
{hosts: [unix:///var/run/docker.sock, tcp://192.168.1.100:2375]
}
这里 192.168.1.100 是你希望允许连接的 IP 地址。
2. 重启 Docker 服务
保存配置文件后重启 Docker 服务以使更改生效
sudo systemctl daemon-reload systemctl restart docker 3. 配置防火墙
确保防火墙允许 TCP 端口 2375 的流量。你可以使用 ufwUncomplicated Firewall或其他防火墙工具来配置。 3.1 使用 ufw
如果你使用ufw可以运行以下命令允许端口 2375
sudo ufw allow 2375/tcp 3.2 使用 iptables
如果你使用 iptables可以运行以下命令允许端口 2375
sudo iptables -A INPUT -p tcp --dport 2375 -j ACCEPT
sudo service iptables save
4. 验证远程连接
从另一台机器上使用 docker CLI 连接到远程 Docker 守护进程。例如假设远程 Docker 守护进程的 IP 地址是 192.168.1.100你可以运行以下命令
docker -H tcp://192.168.1.100:2375 version
如果连接成功你应该会看到 Docker 守护进程的版本信息。
5. 安全性考虑
开启远程连接会增加安全风险因此建议采取以下措施
使用 TLS 加密配置 TLS 以加密通信防止中间人攻击。 限制访问只允许信任的 IP 地址访问 Docker 守护进程。 使用防火墙配置防火墙规则仅允许特定 IP 地址访问端口 2375。 使用认证配置 Docker 守护进程使用认证机制例如 HTTP 基本认证或 OAuth。
5.1 配置 TLS
1. 生成 TLS 证书和密钥 你可以使用 openssl生成自签名证书和密钥 openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca-key.pem -x509 -days 365 -out ca.pemopenssl req -newkey rsa:4096 -nodes -sha256 -keyout server-key.pem -out server.csropenssl x509 -req -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365openssl req -newkey rsa:4096 -nodes -sha256 -keyout client-key.pem -out client.csropenssl x509 -req -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -days 365
2. 配置 Docker 守护进程 在 /etc/docker/daemon.json 文件中添加 TLS 相关配置
{hosts: [unix:///var/run/docker.sock, tcp://0.0.0.0:2375],tls: true,tlscacert: /path/to/ca.pem,tlscert: /path/to/server-cert.pem,tlskey: /path/to/server-key.pem,tlsverify: true}
3. 重启 Docker 服务
sudo systemctl daemon-reload systemctl restart docker
4. 从客户端连接 从客户端机器上使用 TLS 连接到 Docker 守护进程 docker -H tcp://192.168.1.100:2375 --tlsverify --tlscacert/path/to/ca.pem --tlscert/path/to/client-cert.pem --tlskey/path/to/client-key.pem version
