本文转载自:深入理解Docker Volume(一)
讲在前面
想要了解Docker Volume,首先我们需要知道Docker的文件系统是如何工作的。
Docker镜像是由多个文件系统(只读层)叠加而成。当我们启动一个容器的时候,Docker会加载只读镜像层并在其上(译者注:镜像栈顶部)添加一个读写层。如果运行中的容器修改了现有的一个已经存在的文件,那该文件将会从读写层下面的只读层复制到读写层,该文件的只读版本仍然存在,只是已经被读写层中该文件的副本所隐藏。当删除Docker容器,并通过该镜像重新启动时,之前的更改将会丢失。在Docker中,只读层及在顶部的读写层的组合被称为Union File System(联合文件系统)。其文件系统架构如图所示。
为了能够保存(持久化)数据以及共享容器间的数据,Docker提出了Volume的概念。简单来说,Volume就是目录或者文件,它可以绕过默认的联合文件系统,而以正常的文件或者目录的形式存在于宿主机上。我们可以通过两种方式来初始化Volume,这两种方式有些细小而又重要的差别。
方法一,在运行时使用-v
来声明Volume:
$docker run -it --name container-test -h CONTAINER –v /data debian /bin/bash
root@CONTAINER:/# ls /data
root@CONTAINER:/#
上面的命令会将/data
挂载到容器中,并绕过联合文件系统,我们可以在主机上直接操作该目录。任何在该镜像/data
路径的文件将会被复制到Volume。我们可以使用docker inspect
命令找到Volume在主机上的存储位置:
这说明Docker把在/var/lib/docker
下的某个目录挂载到了容器内的/data
目录下。让我们从主机上添加文件到此文件夹下:
$ sudo touch /var/lib/docker/vfs/dir/cde167197ccc3e13814f...b32ce9059437a9/test-file
进入我们的容器内可以看到:
$ root@CONTAINER:/# ls /data
test-file
方法二,在Dockerfile中通过使用VOLUME指令来达到相同的目的:
FROM debian:wheezy
VOLUME ["/doc_dir"]
区别:
-v 参数能够做到而Dockerfile是做不到的事情就是在容器上挂载指定的主机目录。例如:
$docker run –v /home/adrian/data:/data debian ls /data
该命令将挂载主机的/home/adrian/data
目录到容器内的/data
目录上。任何在/home/adrian/data
目录的文件都将会出现在容器内。这对于在主机和容器之间共享文件是非常有帮助的,例如挂载需要编译的源代码。为了保证可移植性(并不是所有的系统的主机目录都是可以用的),挂载主机目录不需要从Dockerfile指定。
容器间数据共享
如果要授权一个容器访问另一个容器的Volume,我们可以使用-volumes-from
参数来执行docker run
。
[root@t24app1sg docker_dir]<20181113 11:51:30># docker run -ti --name volume_sub --volumes-from volume_test3 jboss_t24:volume /bin/bash
权限与许可
通常你需要设置Volume的权限或者为Volume初始化一些默认数据或者配置文件。要注意的关键点是,在Dockerfile的VOLUME
指令后的任何东西都不能改变该Volume,比如:
FROM debian:wheezy
RUN useradd foo
VOLUME /data
RUN touch /data/x
RUN chown -R foo:foo /data
该Docker file不能按预期那样运行,我们本来希望touch
命令在镜像的文件系统上运行,但是实际上它是在一个临时容器的Volume上运行。如下所示:
FROM debian:wheezy
RUN useradd foo
RUN mkdir /data && touch /data/x
RUN chown -R foo:foo /data
VOLUME /data
Docker可以将镜像中Volume下的文件挂载到Volume下,并设置正确的权限。如果你指定Volume的主机目录将不会出现这种情况。如果你没有通过RUN
指令设置权限,那么你就需要在容器启动时使用CMD
或ENTRYPOINT
指令来执行。
删除Volumes
这个功能可能会更加重要,如果你已经使用docker rm
来删除你的容器,那可能有很多的孤立的Volume仍在占用着空间。Volume只有在下列情况下才能被删除:
- 该容器是用
docker rm
-v
命令来删除的(-v
是必不可少的)。 docker run
中使用了--rm
参数
即使用以上两种命令,也只能删除没有容器连接的Volume。连接到用户指定主机目录的Volume永远不会被docker删除。除非你已经很小心的,总是像这样来运行容器,否则你将会在/var/lib/docker/vfs/dir
目录下得到一些僵尸文件和目录,并且还不容易说出它们到底代表什么。