dockerd

目录

守护进程

Usage: dockerd [OPTIONS]

A self-sufficient runtime for containers.

Options:
      --add-runtime runtime                   Register an additional OCI compatible runtime (default [])
      --allow-nondistributable-artifacts list Allow push of nondistributable artifacts to registry
      --api-cors-header string                Set CORS headers in the Engine API
      --authorization-plugin list             Authorization plugins to load
      --bip string                            Specify network bridge IP
  -b, --bridge string                         Attach containers to a network bridge
      --cdi-spec-dir list                     CDI specification directories to use
      --cgroup-parent string                  Set parent cgroup for all containers
      --config-file string                    Daemon configuration file (default "/etc/docker/daemon.json")
      --containerd string                     containerd grpc address
      --containerd-namespace string           Containerd namespace to use (default "moby")
      --containerd-plugins-namespace string   Containerd namespace to use for plugins (default "plugins.moby")
      --cpu-rt-period int                     Limit the CPU real-time period in microseconds for the
                                              parent cgroup for all containers (not supported with cgroups v2)
      --cpu-rt-runtime int                    Limit the CPU real-time runtime in microseconds for the
                                              parent cgroup for all containers (not supported with cgroups v2)
      --cri-containerd                        start containerd with cri
      --data-root string                      Root directory of persistent Docker state (default "/var/lib/docker")
  -D, --debug                                 Enable debug mode
      --default-address-pool pool-options     Default address pools for node specific local networks
      --default-cgroupns-mode string          Default mode for containers cgroup namespace ("host" | "private") (default "private")
      --default-gateway ip                    Container default gateway IPv4 address
      --default-gateway-v6 ip                 Container default gateway IPv6 address
      --default-ipc-mode string               Default mode for containers ipc ("shareable" | "private") (default "private")
      --default-network-opt mapmap            Default network options (default map[])
      --default-runtime string                Default OCI runtime for containers (default "runc")
      --default-shm-size bytes                Default shm size for containers (default 64MiB)
      --default-ulimit ulimit                 Default ulimits for containers (default [])
      --dns list                              DNS server to use
      --dns-opt list                          DNS options to use
      --dns-search list                       DNS search domains to use
      --exec-opt list                         Runtime execution options
      --exec-root string                      Root directory for execution state files (default "/var/run/docker")
      --experimental                          Enable experimental features
      --feature map                           Enable feature in the daemon
      --fixed-cidr string                     IPv4 subnet for fixed IPs
      --fixed-cidr-v6 string                  IPv6 subnet for fixed IPs
  -G, --group string                          Group for the unix socket (default "docker")
      --help                                  Print usage
  -H, --host list                             Daemon socket(s) to connect to
      --host-gateway-ip ip                    IP address that the special 'host-gateway' string in --add-host resolves to.
                                              Defaults to the IP address of the default bridge
      --http-proxy string                     HTTP proxy URL to use for outgoing traffic
      --https-proxy string                    HTTPS proxy URL to use for outgoing traffic
      --icc                                   Enable inter-container communication (default true)
      --init                                  Run an init in the container to forward signals and reap processes
      --init-path string                      Path to the docker-init binary
      --insecure-registry list                Enable insecure registry communication
      --ip ip                                 Default IP when binding container ports (default 0.0.0.0)
      --ip-forward                            Enable net.ipv4.ip_forward (default true)
      --ip-masq                               Enable IP masquerading (default true)
      --ip6tables                             Enable addition of ip6tables rules (experimental)
      --iptables                              Enable addition of iptables rules (default true)
      --ipv6                                  Enable IPv6 networking
      --label list                            Set key=value labels to the daemon
      --live-restore                          Enable live restore of docker when containers are still running
      --log-driver string                     Default driver for container logs (default "json-file")
      --log-format string                     Set the logging format ("text"|"json") (default "text")
  -l, --log-level string                      Set the logging level ("debug"|"info"|"warn"|"error"|"fatal") (default "info")
      --log-opt map                           Default log driver options for containers (default map[])
      --max-concurrent-downloads int          Set the max concurrent downloads (default 3)
      --max-concurrent-uploads int            Set the max concurrent uploads (default 5)
      --max-download-attempts int             Set the max download attempts for each pull (default 5)
      --metrics-addr string                   Set default address and port to serve the metrics api on
      --mtu int                               Set the containers network MTU (default 1500)
      --network-control-plane-mtu int         Network Control plane MTU (default 1500)
      --no-new-privileges                     Set no-new-privileges by default for new containers
      --no-proxy string                       Comma-separated list of hosts or IP addresses for which the proxy is skipped
      --node-generic-resource list            Advertise user-defined resource
      --oom-score-adjust int                  Set the oom_score_adj for the daemon
  -p, --pidfile string                        Path to use for daemon PID file (default "/var/run/docker.pid")
      --raw-logs                              Full timestamps without ANSI coloring
      --registry-mirror list                  Preferred registry mirror
      --rootless                              Enable rootless mode; typically used with RootlessKit
      --seccomp-profile string                Path to seccomp profile. Use "unconfined" to disable the default seccomp profile (default "builtin")
      --selinux-enabled                       Enable selinux support
      --shutdown-timeout int                  Set the default shutdown timeout (default 15)
  -s, --storage-driver string                 Storage driver to use
      --storage-opt list                      Storage driver options
      --swarm-default-advertise-addr string   Set default address or interface for swarm advertised address
      --tls                                   Use TLS; implied by --tlsverify
      --tlscacert string                      Trust certs signed only by this CA (default "~/.docker/ca.pem")
      --tlscert string                        Path to TLS certificate file (default "~/.docker/cert.pem")
      --tlskey string                         Path to TLS key file (default "~/.docker/key.pem")
      --tlsverify                             Use TLS and verify the remote
      --userland-proxy                        Use userland proxy for loopback traffic (default true)
      --userland-proxy-path string            Path to the userland proxy binary
      --userns-remap string                   User/Group setting for user namespaces
      --validate                              Validate daemon configuration and exit
  -v, --version                               Print version information and quit

带 [] 的选项可以多次指定。

描述

dockerd 是管理容器的持久进程。Docker 对守护进程和客户端使用不同的二进制文件。要运行守护进程,请键入 dockerd

要使用调试输出运行守护进程,请使用 dockerd --debug 或将 "debug": true 添加到 daemon.json 文件

注意

启用实验性功能

使用 --experimental 标志启动 dockerd 或将 "experimental": true 添加到 daemon.json 文件中,以启用实验性功能。

环境变量

dockerd 守护进程支持以下环境变量列表。Docker 守护进程和 docker CLI 都支持其中一些环境变量。请参考 环境变量了解 docker CLI 支持的环境变量。

变量描述
DOCKER_CERT_PATH身份验证密钥的位置。此变量由 docker CLIdockerd 守护进程使用。
DOCKER_DRIVER要使用的存储驱动程序。
DOCKER_RAMDISK如果设置此项,则禁用 pivot_root
DOCKER_TLS_VERIFY设置后,Docker 使用 TLS 并验证远程端。此变量由 docker CLIdockerd 守护进程使用。
DOCKER_TMPDIR守护进程创建的临时文件的位置。
HTTP_PROXYHTTP 请求的代理 URL,除非被 NoProxy 覆盖。详情请参见 Go 规范
HTTPS_PROXYHTTPS 请求的代理 URL,除非被 NoProxy 覆盖。详情请参见 Go 规范
MOBY_DISABLE_PIGZ禁用使用 unpigz以并行方式解压缩层(即使已安装)。
NO_PROXY逗号分隔的值,指定应从代理中排除的主机。详情请参见 Go 规范

示例

代理配置

注意

请参考 Docker Desktop 手册如果您正在运行 Docker Desktop

如果您位于 HTTP 代理服务器之后(例如在公司环境中),则可能必须配置 Docker 守护进程以使用代理服务器执行拉取和推送镜像等操作。守护进程可以通过三种方式进行配置

  1. 使用环境变量 (HTTP_PROXYHTTPS_PROXYNO_PROXY)。
  2. 守护进程配置文件 中使用 http-proxyhttps-proxyno-proxy 字段(Docker Engine 23.0 或更高版本)。
  3. 使用 --http-proxy--https-proxy--no-proxy 命令行选项。(Docker Engine 23.0 或更高版本)。

命令行和配置文件选项优先于环境变量。请参考 使用 systemd 控制和配置 Docker守护进程套接字选项

Docker 守护进程可以通过三种不同类型的 Socket 监听 Docker Engine API 请求:unixtcpfd

默认情况下,会在 /var/run/docker.sock 创建一个 unix 域套接字(或 IPC 套接字),这需要 root 权限或 docker 组成员身份。

如果需要远程访问 Docker 守护进程,则需要启用 tcp Socket。使用 TCP 套接字时,Docker 守护进程默认情况下会提供对 Docker 守护进程的未加密和未经身份验证的直接访问。应使用 内置的 HTTPS 加密套接字 或在其前面放置安全的 Web 代理来保护守护进程。可以使用 -H tcp://0.0.0.0:2375 在所有网络接口上监听端口 2375,或使用其 IP 地址在特定网络接口上监听:-H tcp://192.168.59.103:2375。通常使用端口 2375 进行未加密通信,使用端口 2376 进行与守护进程的加密通信。

注意

如果使用 HTTPS 加密套接字,请记住仅支持 TLS 版本 1.0 和更高版本。出于安全原因,不支持 SSLv3 和更低版本协议。

在基于 systemd 的系统上,可以通过 systemd 套接字激活 与守护进程通信,使用 dockerd -H fd://。使用 fd:// 适用于大多数设置,但也可以指定单个套接字:dockerd -H fd://3。如果找不到指定的套接字激活文件,守护进程将退出。可以在 Docker 源代码树 中找到使用 Docker 和 systemd 进行 systemd 套接字激活的示例。

可以使用多个 -H 选项同时配置 Docker 守护进程以监听多个套接字。

以下示例运行守护进程,监听默认的 Unix 套接字以及此主机上的 2 个特定 IP 地址。

$ sudo dockerd -H unix:///var/run/docker.sock -H tcp://192.168.59.106 -H tcp://10.10.10.2

Docker 客户端会遵循 DOCKER_HOST 环境变量来设置客户端的 -H 标志。使用以下命令中的 **一个**

$ docker -H tcp://0.0.0.0:2375 ps

$ export DOCKER_HOST="tcp://0.0.0.0:2375"

$ docker ps

DOCKER_TLS_VERIFY 环境变量设置为除空字符串以外的任何值,都等同于设置 --tlsverify 标志。以下是等效的:

$ docker --tlsverify ps
# or
$ export DOCKER_TLS_VERIFY=1
$ docker ps

Docker 客户端遵循 HTTP_PROXYHTTPS_PROXYNO_PROXY 环境变量(或其小写版本)。HTTPS_PROXY 优先于 HTTP_PROXY

Docker 客户端支持通过 SSH 连接到远程守护进程。

$ docker -H ssh://[email protected]:22/var/run/docker.sock ps
$ docker -H ssh://[email protected]:22 ps
$ docker -H ssh://[email protected] ps
$ docker -H ssh://example.com ps

要使用 SSH 连接,需要设置 ssh 以便其可以使用公钥身份验证访问远程主机。不支持密码身份验证。如果密钥受密码保护,则需要设置 ssh-agent

将 Docker 绑定到另一个主机/端口或 Unix 套接字

警告

将默认的 docker 守护进程绑定更改为 TCP 端口或 Unix docker 用户组会带来安全风险,因为它可能允许非 root 用户获得主机的 root 访问权限。确保控制对 docker 的访问。如果绑定到 TCP 端口,则任何可以访问该端口的人都具有完全的 Docker 访问权限;因此,不建议在开放网络上使用。

使用 -H 可以使 Docker 守护进程监听特定的 IP 和端口。默认情况下,它监听 unix:///var/run/docker.sock 以仅允许 root 用户进行本地连接。可以将其设置为 0.0.0.0:2375 或特定的主机 IP 以允许所有人访问,但不建议这样做,因为有人可能会获得运行守护进程的主机的 root 访问权限。

同样,Docker 客户端可以使用 -H 连接到自定义端口。Docker 客户端默认连接到 Linux 上的 unix:///var/run/docker.sock 和 Windows 上的 tcp://127.0.0.1:2376

-H 接受以下格式的主机和端口分配:

tcp://[host]:[port][path] or unix://path

例如:

  • tcp:// -> TCP 连接到端口 2376(启用 TLS 加密时)或端口 2375(明文通信时)的 127.0.0.1
  • tcp://host:2375 -> host:2375 上的 TCP 连接
  • tcp://host:2375/path -> host:2375 上的 TCP 连接,并在所有请求前添加路径
  • unix://path/to/socket -> 位于 path/to/socket 的 Unix 套接字

-H 为空时,默认为未传递 -H 时的值。

-H 还接受 TCP 绑定的简写形式:host:host:port:port

以守护进程模式运行 Docker

$ sudo <path to>/dockerd -H 0.0.0.0:5555 &

下载 ubuntu 镜像

$ docker -H :5555 pull ubuntu

可以使用多个 -H,例如,如果要同时监听 TCP 和 Unix 套接字。

$ sudo dockerd -H tcp://127.0.0.1:2375 -H unix:///var/run/docker.sock &
# Download an ubuntu image, use default Unix socket
$ docker pull ubuntu
# OR use the TCP port
$ docker -H tcp://127.0.0.1:2375 pull ubuntu

守护进程存储驱动

在 Linux 上,Docker 守护进程支持几种不同的镜像层存储驱动程序:overlay2fuse-overlayfsbtrfszfs

overlay2 是所有当前支持的 Linux 发行版的首选存储驱动程序,并且是默认选择的。除非用户有强烈的理由偏好其他存储驱动程序,否则应使用 overlay2

可以在 选择存储驱动程序 中了解更多关于存储驱动程序以及如何选择驱动程序的信息。

在 Windows 上,Docker 守护进程仅支持 windowsfilter 存储驱动程序。

每个存储驱动的选项

可以使用 --storage-opt 标志指定的选项配置特定存储驱动程序。zfs 的选项以 zfs 开头,btrfs 的选项以 btrfs 开头。

ZFS 选项

zfs.fsname

指定守护进程应用于创建其数据集的 ZFS 文件系统。默认情况下,使用 /var/lib/docker 中的 ZFS 文件系统。

示例
$ sudo dockerd -s zfs --storage-opt zfs.fsname=zroot/docker

Btrfs 选项

btrfs.min_space

指定创建用于容器的子卷时要使用的最小大小。如果用户在使用 **--storage-opt size** 选项创建或运行容器时对 btrfs 使用磁盘配额,则 Docker 应确保 **size** 不能小于 **btrfs.min_space**。

示例
$ sudo dockerd -s btrfs --storage-opt btrfs.min_space=10G

Overlay2 选项

overlay2.size

设置容器的默认最大大小。只有当后备文件系统是 xfs 并以 pquota 挂载选项挂载时才支持。在这种情况下,用户可以传递小于后备文件系统大小的任何大小。

示例
$ sudo dockerd -s overlay2 --storage-opt overlay2.size=1G

Windowsfilter 选项

size

指定创建用于容器的沙箱时要使用的 size。默认为 20G。

示例
C:\> dockerd --storage-opt size=40G

运行时选项

Docker 守护进程依赖于符合 OCI 的运行时(通过 containerd 守护进程调用)作为其与 Linux 内核 namespacescgroupsSELinux 的接口。

配置容器运行时

默认情况下,Docker 守护进程使用 runc 作为容器运行时。可以配置守护进程以添加其他运行时。

安装在 PATH 上的 containerd shim 可以直接使用,无需编辑守护进程的配置。例如,如果将 Kata Containers shim(containerd-shim-kata-v2)安装在 PATH 上,则可以使用 docker run 选择该运行时,而无需编辑守护进程的配置。

$ docker run --runtime io.containerd.kata.v2

未实现 containerd shim 的容器运行时或安装在 PATH 外的 containerd shim 必须向守护进程注册,可以通过配置文件或使用 --add-runtime 命令行标志来完成。

有关如何使用其他容器运行时的示例,请参阅 替代容器运行时

使用 daemon.json 配置运行时

要使用守护进程的配置文件注册和配置容器运行时,请将运行时添加为 runtimes 下的条目。

{
  "runtimes": {
    "<runtime>": {}
  }
}

条目键(在之前的示例中为<runtime>)代表运行时的名称。这是在使用docker run --runtime <runtime>运行容器时引用的名称。

运行时条目包含一个对象,用于指定运行时的配置。对象的属性取决于您要注册的运行时类型。

  • 如果运行时实现了它自己的 containerd shim,则该对象应包含runtimeType字段和可选的options字段。

    {
  "runtimes": {
    "<runtime>": {
      "runtimeType": "<name-or-path>",
      "options": {}
    }
  }
}

    参见 配置 shim

  • 如果运行时旨在作为 runc 的直接替换,则该对象包含path字段和可选的runtimeArgs字段。

    {
  "runtimes": {
    "<runtime>": {
      "path": "/path/to/bin",
      "runtimeArgs": ["...args"]
    }
  }
}

    参见 配置 runc 直接替换

更改配置文件中的运行时配置后,必须重新加载或重新启动守护程序才能使更改生效。

$ sudo systemctl reload dockerd
配置 containerd shim

如果您要注册的运行时实现了 containerd shim,或者您想注册一个使用 runc shim 的运行时,请使用以下格式作为运行时条目

{
  "runtimes": {
    "<runtime>": {
      "runtimeType": "<name-or-path>",
      "options": {}
    }
  }
}

runtimeType 指的是:

  • containerd shim 的完全限定名称。

    shim 的完全限定名称与在 containerd 的 CRI 配置中用于注册运行时的runtime_type相同。例如,io.containerd.runsc.v1

  • containerd shim 二进制文件的路径。

    如果您在PATH之外安装了 containerd shim 二进制文件,则此选项很有用。

options 是可选的。它允许您指定要用于 shim 的运行时配置。您可以在options中指定的配置参数取决于您正在注册的运行时。对于大多数 shim,支持的配置选项是TypeUrlConfigPath。例如:

{
  "runtimes": {
    "gvisor": {
      "runtimeType": "io.containerd.runsc.v1",
      "options": {
        "TypeUrl": "io.containerd.runsc.v1.options",
        "ConfigPath": "/etc/containerd/runsc.toml"
      }
    }
  }
}

您可以使用相同的 runtimeType 配置多个运行时。例如:

{
  "runtimes": {
    "gvisor-foo": {
      "runtimeType": "io.containerd.runsc.v1",
      "options": {
        "TypeUrl": "io.containerd.runsc.v1.options",
        "ConfigPath": "/etc/containerd/runsc-foo.toml"
      }
    },
    "gvisor-bar": {
      "runtimeType": "io.containerd.runsc.v1",
      "options": {
        "TypeUrl": "io.containerd.runsc.v1.options",
        "ConfigPath": "/etc/containerd/runsc-bar.toml"
      }
    }
  }
}

当与"runtimeType": "io.containerd.runc.v2"一起使用时,options字段采用一组特殊的配置参数。有关 runc 参数的更多信息,请参阅CRI 插件配置指南中的 runc 配置部分。

配置 runc 直接替换

如果您要注册的运行时可以作为 runc 的直接替换,您可以使用守护程序配置文件或使用dockerd cli 的--add-runtime标志注册运行时。

当您使用配置文件时,条目使用以下格式:

{
  "runtimes": {
    "<runtime>": {
      "path": "/path/to/binary",
      "runtimeArgs": ["...args"]
    }
  }
}

其中path是运行时可执行文件的绝对路径,或者是安装在PATH上的可执行文件的名称。

{
  "runtimes": {
    "runc": {
      "path": "runc"
    }
  }
}

runtimeArgs允许您可选地向运行时传递其他参数。使用此格式的条目使用 containerd runc shim 来调用自定义运行时二进制文件。

当您使用--add-runtime CLI 标志时,请使用以下格式:

$ sudo dockerd --add-runtime <runtime>=<path>

不支持通过命令行定义运行时参数。

有关 runc 直接替换的示例配置,请参见 替代容器运行时 > youki

配置默认容器运行时

您可以指定完全限定的 containerd 运行时 shim 的名称,或注册运行时的名称。您可以使用守护程序配置文件或使用dockerd cli 的--default-runtime标志指定默认运行时。

当您使用配置文件时,条目使用以下格式:

{
  "default-runtime": "io.containerd.runsc.v1"
}

当您使用--default-runtime CLI 标志时,请使用以下格式:

$ dockerd --default-runtime io.containerd.runsc.v1

独立运行 containerd

默认情况下,Docker 守护程序会自动启动containerd。如果您想控制containerd的启动,请手动启动containerd并使用--containerd标志传递containerd套接字的路径。例如:

$ sudo dockerd --containerd /run/containerd/containerd.sock

配置 cgroup 驱动程序

您可以使用--exec-opt native.cgroupdriver CLI 标志配置运行时如何管理容器 cgroup。

您只能指定cgroupfssystemd。如果您指定systemd但它不可用,则系统会出错。如果您省略native.cgroupdriver选项,则在 cgroup v1 主机上使用cgroupfs,在具有可用 systemd 的 cgroup v2 主机上使用systemd

此示例将cgroupdriver设置为systemd

$ sudo dockerd --exec-opt native.cgroupdriver=systemd

设置此选项适用于守护程序启动的所有容器。

配置容器隔离技术(Windows)

对于 Windows 容器,您可以使用--exec-opt isolation标志指定要使用的默认容器隔离技术。

以下示例使hyperv成为默认隔离技术:

> dockerd --exec-opt isolation=hyperv

如果在守护程序启动时未指定隔离值,则在 Windows 客户端上默认为hyperv,在 Windows 服务器上默认为process

守护进程 DNS 选项

要为所有 Docker 容器设置 DNS 服务器,请使用:

$ sudo dockerd --dns 8.8.8.8

要为所有 Docker 容器设置 DNS 搜索域,请使用:

$ sudo dockerd --dns-search example.com

允许推送不可分发构件

某些镜像(例如,Windows 基础镜像)包含其分发受许可证限制的工件。当这些镜像被推送到注册表时,受限制的工件将不被包含。

要覆盖特定注册表的此行为,请使用以下格式之一的--allow-nondistributable-artifacts选项:

  • --allow-nondistributable-artifacts myregistry:5000告诉 Docker 守护程序将不可分发的工件推送到 myregistry:5000。
  • --allow-nondistributable-artifacts 10.1.0.0/16告诉 Docker 守护程序将不可分发的工件推送到其解析的 IP 地址位于 CIDR 语法描述的子网内的所有注册表。

此选项可以多次使用。

当将包含不可分发工件的镜像推送到隔离网络上的注册表时,此选项很有用,这样该网络上的主机无需连接到另一台服务器即可拉取镜像。

警告

不可分发的工件通常对其如何以及在哪里分发和共享有限制。仅当将工件推送到私有注册表时才使用此功能,并确保您符合涵盖重新分发不可分发工件的任何条款。

不安全的注册表

在本节中,“注册表”指的是私有注册表,而myregistry:5000是私有注册表的占位符示例。

Docker 将私有注册表视为安全或不安全。安全注册表使用 TLS,其 CA 证书的副本放置在 Docker 主机上的/etc/docker/certs.d/myregistry:5000/ca.crt位置。不安全的注册表要么不使用 TLS(即,侦听纯文本 HTTP),要么使用 Docker 守护程序未知的 CA 证书的 TLS。后者可能发生在证书未在/etc/docker/certs.d/myregistry:5000/下找到,或者证书验证失败(即,错误的 CA)时。

默认情况下,Docker 假设所有注册表都是安全的,本地注册表除外。如果 Docker 假设注册表是安全的,则无法与不安全的注册表通信。为了与不安全的注册表通信,Docker 守护程序需要以下两种形式之一的--insecure-registry

  • --insecure-registry myregistry:5000告诉 Docker 守护程序 myregistry:5000 应被视为不安全。
  • --insecure-registry 10.1.0.0/16告诉 Docker 守护程序,其域名解析到的 IP 地址属于 CIDR 语法描述的子网的所有注册表都应被视为不安全。

该标志可以多次使用,以允许将多个注册表标记为不安全。

如果没有将不安全的注册表标记为不安全,则docker pulldocker pushdocker search将导致错误消息,提示用户要么保护注册表,要么如上所述将--insecure-registry标志传递给 Docker 守护程序。

从 Docker 1.3.2 开始,其 IP 地址在 127.0.0.0/8 范围内的本地注册表会自动标记为不安全。不建议依赖此功能,因为它将来可能会更改。

启用--insecure-registry(即允许未加密和/或不受信任的通信)在运行本地注册表时可能很有用。但是,由于其使用会创建安全漏洞,因此应仅将其用于测试目的。为了提高安全性,用户应将其 CA 添加到其系统信任的 CA 列表中,而不是启用--insecure-registry

旧版注册表

不再支持针对仅支持旧版 v1 协议的注册表的运维操作。具体来说,守护程序不会尝试推送到、拉取或登录到 v1 注册表。对此的例外是search,它仍然可以在 v1 注册表上执行。

在 HTTPS_PROXY 后运行 Docker 守护进程

在使用HTTPS代理的 LAN 中运行时,代理的证书会替换 Docker Hub 的证书。这些证书必须添加到 Docker 主机的配置中。

  1. 为您的发行版安装ca-certificates包。
  2. 向您的网络管理员索取代理的 CA 证书,并将其附加到/etc/pki/tls/certs/ca-bundle.crt
  3. 然后使用HTTPS_PROXY=http://username:password@proxy:port/ dockerd启动您的 Docker 守护程序。username:password@是可选的——只有当您的代理设置为需要身份验证时才需要它们。

这只会将代理和身份验证添加到 Docker 守护程序的请求中。要构建镜像和运行容器时使用代理,请参见 配置 Docker 以使用代理服务器

默认 ulimit 设置

--default-ulimit标志允许您设置要用于所有容器的默认ulimit选项。它采用与docker run--ulimit相同的选项。如果未设置这些默认值,则ulimit设置将从 Docker 守护程序继承。传递给docker run的任何--ulimit选项都将覆盖守护程序默认值。

使用ulimit标志小心设置nproc,因为nproc由 Linux 设计为设置用户可用的最大进程数,而不是容器。有关详细信息,请参见 docker run 参考

访问授权

Docker 的访问授权可以通过授权插件扩展,您的组织可以购买或自行构建这些插件。启动 Docker daemon 时,可以使用 --authorization-plugin=PLUGIN_ID 选项安装一个或多个授权插件。

$ sudo dockerd --authorization-plugin=plugin1 --authorization-plugin=plugin2,...

PLUGIN_ID 值可以是插件名称或其规范文件的路径。插件的实现决定您可以指定名称还是路径。请咨询您的 Docker 管理员以获取有关您可以使用的插件的信息。

安装插件后,通过命令行或 Docker 引擎 API 对 daemon 的请求将由插件允许或拒绝。如果安装了多个插件,则每个插件都必须按顺序允许请求才能完成。

有关如何创建授权插件的信息,请参阅授权插件 部分。

守护进程用户命名空间选项

Linux 内核的用户命名空间支持 提供了额外的安全性,它使进程(因此也包括容器)拥有唯一的用户和组 ID 范围,这些范围位于主机系统使用的传统用户和组范围之外。最重要的安全改进之一是,默认情况下,以root用户身份运行的容器进程在其内部拥有预期的管理权限(有一些限制),但实际上会被映射到主机上的非特权uid

有关如何使用此功能以及其限制的详细信息,请参阅使用用户命名空间隔离容器

配置主机网关 IP

Docker daemon 支持docker rundocker build命令的--add-host标志的特殊host-gateway值。此值解析为主机的网关 IP,并允许容器连接到主机上运行的服务。

默认情况下,host-gateway 解析到默认桥接的 IP 地址。您可以使用 dockerd 命令行界面的--host-gateway-ip标志或守护程序配置文件中的host-gateway-ip键将其配置为解析到不同的 IP。

$ cat > /etc/docker/daemon.json
{ "host-gateway-ip": "192.0.2.0" }
$ sudo systemctl restart docker
$ docker run -it --add-host host.docker.internal:host-gateway \
  busybox ping host.docker.internal 
PING host.docker.internal (192.0.2.0): 56 data bytes

启用 CDI 设备

注意

这是一个实验性功能,因此它不代表稳定的 API。

此功能默认情况下未启用。要启用此功能,请在daemon.json配置文件中将features.cdi设置为true

容器设备接口 (CDI) 是一种标准化 机制,用于容器运行时创建能够与第三方设备交互的容器。

如果守护程序的文件系统上提供了请求的设备规范,则 Docker 守护程序支持使用 CDI 设备运行容器。

默认规范目录是:

  • /etc/cdi/ 用于静态 CDI 规范
  • /var/run/cdi 用于生成的 CDI 规范

或者,您可以使用daemon.json配置文件中的cdi-spec-dirs选项或dockerd CLI 的--cdi-spec-dir标志设置 CDI 规范的自定义位置。

{
  "features": {
     "cdi": true
  },
  "cdi-spec-dirs": ["/etc/cdi/", "/var/run/cdi"]
}

当为守护程序启用 CDI 时,您可以使用docker info命令查看已配置的 CDI 规范目录。

守护程序日志格式

--log-format选项或守护程序配置文件中的“log-format”选项允许您设置守护程序生成的日志的格式。日志格式只能通过--log-format命令行选项或配置文件中的“log-format”字段进行配置;同时使用命令行选项和配置文件中的“log-format”字段会导致错误。如果未设置此选项,则默认为“text”。

以下示例通过--log-format命令行选项将守护程序配置为使用json格式的日志;

$ dockerd --log-format=json
# ...
{"level":"info","msg":"API listen on /var/run/docker.sock","time":"2024-09-16T11:06:08.558145428Z"}

以下示例显示了一个daemon.json配置文件,“log-format”已设置;

{
  "log-format": "json"
}

其他选项

IP 伪装使用地址转换允许没有公共 IP 的容器与互联网上的其他机器通信。这可能会干扰某些网络拓扑,并且可以使用--ip-masq=false禁用。

Docker 支持 Docker 数据目录 (/var/lib/docker) 和/var/lib/docker/tmp的软链接。DOCKER_TMPDIR和数据目录可以这样设置

$ export DOCKER_TMPDIR=/mnt/disk2/tmp
$ sudo -E dockerd --data-root /var/lib/docker -H unix://

默认 cgroup 父级

--cgroup-parent选项允许您设置容器的默认 cgroup 父级。如果未设置此选项,则对于 cgroupfs 驱动程序默认为/docker,对于 systemd cgroup 驱动程序默认为system.slice

如果 cgroup 具有前导斜杠 (/),则会在根 cgroup 下创建 cgroup,否则会在守护程序 cgroup 下创建 cgroup。

假设守护程序在 cgroup daemoncgroup 中运行,--cgroup-parent=/foobar会在/sys/fs/cgroup/memory/foobar中创建一个 cgroup,而使用--cgroup-parent=foobar会在/sys/fs/cgroup/memory/daemoncgroup/foobar中创建 cgroup。

systemd cgroup 驱动程序对--cgroup-parent有不同的规则。systemd 通过切片表示层次结构,切片的名称对树中的位置进行编码。因此,systemd cgroup 的--cgroup-parent应该是切片名称。名称可以由一系列用短划线分隔的名称组成,这些名称描述了从根切片到切片的路径。例如,--cgroup-parent=user-a-b.slice表示容器的内存 cgroup 在/sys/fs/cgroup/memory/user.slice/user-a.slice/user-a-b.slice/docker-<id>.scope中创建。

此设置也可以在每个容器中使用docker createdocker run上的--cgroup-parent选项设置,并且优先于守护程序上的--cgroup-parent选项。

守护程序指标

--metrics-addr选项采用一个 TCP 地址来提供指标 API 服务。此功能仍在实验阶段,因此守护程序必须在实验模式下运行才能使用此功能。

要在localhost:9323上提供指标 API 服务,您需要指定--metrics-addr 127.0.0.1:9323,允许您在127.0.0.1:9323/metrics上的 API 上发出请求以接收prometheus 格式的指标。

端口9323与 Docker 指标关联的默认端口,以避免与其他 Prometheus 导出器和服务发生冲突。

如果您正在运行 Prometheus 服务器,则可以将此地址添加到您的抓取配置中,让 Prometheus 收集有关 Docker 的指标。有关更多信息,请参阅使用 Prometheus 收集 Docker 指标

节点通用资源

--node-generic-resources选项接受键值对 (key=value) 列表,允许您在 Swarm 集群中宣传用户定义的资源。

当前预期的用例是宣传 NVIDIA GPU,以便请求NVIDIA-GPU=[0-16]的服务可以落在具有足够 GPU 以运行任务的节点上。

用法示例

{
  "node-generic-resources": [
    "NVIDIA-GPU=UUID1",
    "NVIDIA-GPU=UUID2"
  ]
}

在守护程序中启用功能 (--feature)

--feature选项允许您在守护程序中启用或禁用功能。此选项与daemon.json 配置文件中的“features”字段相对应。功能只能通过--feature命令行选项或配置文件中的“features”字段进行配置;同时使用命令行选项和配置文件中的“features”字段会导致错误。功能选项可以多次指定以配置多个功能。--feature选项接受名称和可选布尔值。省略值时,默认为true

以下示例使用启用的cdicontainerd-snapshotter功能运行守护程序。cdi选项提供了值;

$ dockerd --feature cdi=true --feature containerd-snapshotter

以下示例是使用daemon.json配置文件的等效示例;

{
  "features": {
    "cdi": true,
    "containerd-snapshotter": true
  }
}

守护进程配置文件

--config-file选项允许您以 JSON 格式设置守护程序的任何配置选项。此文件使用与标志相同的标志名称作为键,但允许多个条目的标志除外,在这种情况下,它使用标志名称的复数形式,例如,labels用于label标志。

配置文件中设置的选项不得与使用标志设置的选项冲突。如果文件和标志之间重复了选项,则 Docker 守护程序将无法启动,而不管其值如何。这是故意的,可以避免在配置重新加载中静默忽略引入的更改。例如,如果您在配置文件中设置了守护程序标签,并且还通过--label标志设置了守护程序标签,则守护程序将无法启动。文件中不存在的选项在守护程序启动时将被忽略。

--validate 选项允许在不启动 Docker 守护进程的情况下验证配置文件。无效的配置文件将返回非零退出代码。

$ dockerd --validate --config-file=/tmp/valid-config.json
configuration OK

$ echo $?
0

$ dockerd --validate --config-file /tmp/invalid-config.json
unable to configure the Docker daemon with file /tmp/invalid-config.json: the following directives don't match any configuration option: unknown-option

$ echo $?
1
在 Linux 上

Linux 系统上配置文件的默认位置是 /etc/docker/daemon.json。使用 --config-file 标志指定非默认位置。

以下是 Linux 系统上允许的配置选项的完整示例

{
  "allow-nondistributable-artifacts": [],
  "api-cors-header": "",
  "authorization-plugins": [],
  "bip": "",
  "bridge": "",
  "builder": {
    "gc": {
      "enabled": true,
      "defaultKeepStorage": "10GB",
      "policy": [
        { "keepStorage": "10GB", "filter": ["unused-for=2200h"] },
        { "keepStorage": "50GB", "filter": ["unused-for=3300h"] },
        { "keepStorage": "100GB", "all": true }
      ]
    }
  },
  "cgroup-parent": "",
  "containerd": "/run/containerd/containerd.sock",
  "containerd-namespace": "docker",
  "containerd-plugins-namespace": "docker-plugins",
  "data-root": "",
  "debug": true,
  "default-address-pools": [
    {
      "base": "172.30.0.0/16",
      "size": 24
    },
    {
      "base": "172.31.0.0/16",
      "size": 24
    }
  ],
  "default-cgroupns-mode": "private",
  "default-gateway": "",
  "default-gateway-v6": "",
  "default-network-opts": {},
  "default-runtime": "runc",
  "default-shm-size": "64M",
  "default-ulimits": {
    "nofile": {
      "Hard": 64000,
      "Name": "nofile",
      "Soft": 64000
    }
  },
  "dns": [],
  "dns-opts": [],
  "dns-search": [],
  "exec-opts": [],
  "exec-root": "",
  "experimental": false,
  "features": {
    "cdi": true,
    "containerd-snapshotter": true
  },
  "fixed-cidr": "",
  "fixed-cidr-v6": "",
  "group": "",
  "host-gateway-ip": "",
  "hosts": [],
  "proxies": {
    "http-proxy": "http://proxy.example.com:80",
    "https-proxy": "https://proxy.example.com:443",
    "no-proxy": "*.test.example.com,.example.org"
  },
  "icc": false,
  "init": false,
  "init-path": "/usr/libexec/docker-init",
  "insecure-registries": [],
  "ip": "0.0.0.0",
  "ip-forward": false,
  "ip-masq": false,
  "iptables": false,
  "ip6tables": false,
  "ipv6": false,
  "labels": [],
  "live-restore": true,
  "log-driver": "json-file",
  "log-format": "text",
  "log-level": "",
  "log-opts": {
    "cache-disabled": "false",
    "cache-max-file": "5",
    "cache-max-size": "20m",
    "cache-compress": "true",
    "env": "os,customer",
    "labels": "somelabel",
    "max-file": "5",
    "max-size": "10m"
  },
  "max-concurrent-downloads": 3,
  "max-concurrent-uploads": 5,
  "max-download-attempts": 5,
  "mtu": 0,
  "no-new-privileges": false,
  "node-generic-resources": [
    "NVIDIA-GPU=UUID1",
    "NVIDIA-GPU=UUID2"
  ],
  "oom-score-adjust": 0,
  "pidfile": "",
  "raw-logs": false,
  "registry-mirrors": [],
  "runtimes": {
    "cc-runtime": {
      "path": "/usr/bin/cc-runtime"
    },
    "custom": {
      "path": "/usr/local/bin/my-runc-replacement",
      "runtimeArgs": [
        "--debug"
      ]
    }
  },
  "seccomp-profile": "",
  "selinux-enabled": false,
  "shutdown-timeout": 15,
  "storage-driver": "",
  "storage-opts": [],
  "swarm-default-advertise-addr": "",
  "tls": true,
  "tlscacert": "",
  "tlscert": "",
  "tlskey": "",
  "tlsverify": true,
  "userland-proxy": false,
  "userland-proxy-path": "/usr/libexec/docker-proxy",
  "userns-remap": ""
}

注意

您不能在 daemon.json 中设置已经在守护进程启动时作为标志设置的选项。在使用 systemd 启动 Docker 守护进程的系统上,-H 已经设置,因此您不能使用 daemon.json 中的 hosts 密钥添加监听地址。有关如何使用 systemd drop-in 文件配置守护进程的示例,请参阅 自定义 Docker 守护进程选项

在 Windows 上

Windows 系统上配置文件的默认位置是 %programdata%\docker\config\daemon.json。使用 --config-file 标志指定非默认位置。

以下是 Windows 系统上允许的配置选项的完整示例

{
  "allow-nondistributable-artifacts": [],
  "authorization-plugins": [],
  "bridge": "",
  "containerd": "\\\\.\\pipe\\containerd-containerd",
  "containerd-namespace": "docker",
  "containerd-plugins-namespace": "docker-plugins",
  "data-root": "",
  "debug": true,
  "default-network-opts": {},
  "default-runtime": "",
  "default-ulimits": {},
  "dns": [],
  "dns-opts": [],
  "dns-search": [],
  "exec-opts": [],
  "experimental": false,
  "features": {},
  "fixed-cidr": "",
  "group": "",
  "host-gateway-ip": "",
  "hosts": [],
  "insecure-registries": [],
  "labels": [],
  "log-driver": "",
  "log-format": "text",
  "log-level": "",
  "max-concurrent-downloads": 3,
  "max-concurrent-uploads": 5,
  "max-download-attempts": 5,
  "mtu": 0,
  "pidfile": "",
  "raw-logs": false,
  "registry-mirrors": [],
  "shutdown-timeout": 15,
  "storage-driver": "",
  "storage-opts": [],
  "swarm-default-advertise-addr": "",
  "tlscacert": "",
  "tlscert": "",
  "tlskey": "",
  "tlsverify": true
}

default-runtime 选项默认情况下未设置,在这种情况下,dockerd 会自动检测运行时。此检测基于是否设置了 containerd 标志。

接受的值

  • com.docker.hcsshim.v1 - 这是 Docker 自从 Windows 支持首次添加以来一直使用的内置运行时,并使用 Windows 中的 v1 HCS API。
  • io.containerd.runhcs.v1 - 这使用 containerd runhcs shim 来运行容器,并使用 Windows 中的 v2 HCS API。

功能选项

daemon.json 中的可选字段 features 允许您启用或禁用特定的守护进程功能。

{
  "features": {
    "some-feature": true,
    "some-disabled-feature-enabled-by-default": false
  }
}

功能选项列表包括

  • containerd-snapshotter:设置为 true 时,守护进程使用 containerd 快照程序而不是经典存储驱动程序来存储镜像和容器数据。有关更多信息,请参阅 containerd 存储

  • windows-dns-proxy:设置为 true 时,守护进程的内部 DNS 解析器将请求转发到外部服务器。如果没有这个,大多数在容器中运行的应用程序仍然能够使用在容器本身中配置的辅助 DNS 服务器,但是 nslookup 将无法解析外部名称。当前默认值为 false,在未来的版本中将更改为 true。此选项仅在 Windows 上允许。

    警告

    windows-dns-proxy 功能标志将在将来的版本中删除。

配置重新加载行为

在守护进程运行时,无需重新启动进程即可重新配置某些选项。守护进程在 Linux 中使用 SIGHUP 信号进行重新加载,在 Windows 中使用键为 Global\docker-daemon-config-$PID 的全局事件。您可以修改配置文件中的选项,但守护进程仍然会检查与指定的 CLI 标志冲突的设置。如果存在冲突,守护进程将无法重新配置自身,但不会停止执行。

可以重新配置的当前支持选项列表如下:

选项描述
debug切换守护进程的调试模式。
labels用一组新的标签替换守护进程标签。
live-restore切换 实时恢复
max-concurrent-downloads配置每次拉取的最大并发下载数。
max-concurrent-uploads配置每次推送的最大并发上传数。
max-download-attempts配置每次拉取的最大下载尝试次数。
default-runtime配置在创建容器时未指定运行时时要使用的运行时。
runtimes配置可用于运行容器的可用 OCI 运行时列表。
authorization-plugin指定要使用的授权插件。
allow-nondistributable-artifacts指定守护进程将向其推送不可分发构件的注册表列表。
insecure-registries指定守护进程应认为不安全的注册表列表。
registry-mirrors指定注册表镜像列表。
shutdown-timeout使用新的关闭所有容器的超时时间配置守护进程的现有配置超时时间。
features启用或禁用特定功能。

运行多个守护进程

注意

在一个主机上运行多个守护进程被认为是实验性的。在某些情况下,您可能会遇到未解决的问题,并且某些功能可能无法按预期工作。

本节描述如何在单个主机上运行多个 Docker 守护进程。要运行多个守护进程,必须配置每个守护进程,使其不会与同一主机上的其他守护进程冲突。您可以通过提供标志或使用 守护进程配置文件 来设置这些选项。

必须为每个守护进程配置以下守护进程选项

-b, --bridge=                          Attach containers to a network bridge
--exec-root=/var/run/docker            Root of the Docker execdriver
--data-root=/var/lib/docker            Root of persisted Docker data
-p, --pidfile=/var/run/docker.pid      Path to use for daemon PID file
-H, --host=[]                          Daemon socket(s) to connect to
--iptables=true                        Enable addition of iptables rules
--config-file=/etc/docker/daemon.json  Daemon configuration file
--tlscacert="~/.docker/ca.pem"         Trust certs signed only by this CA
--tlscert="~/.docker/cert.pem"         Path to TLS certificate file
--tlskey="~/.docker/key.pem"           Path to TLS key file

当您的守护进程对这些标志使用不同的值时,您可以毫无问题地在同一主机上运行它们。重要的是您理解这些选项的含义并正确使用它们。

  • -b, --bridge= 标志默认为 docker0 作为默认桥接网络。安装 Docker 时会自动创建它。如果您没有使用默认值,则必须手动创建和配置桥接,或将其设置为“none”:--bridge=none
  • --exec-root 是存储容器状态的路径。默认值为 /var/run/docker。在此处指定运行守护程序的路径。
  • --data-root 是存储持久化数据(如镜像、卷和集群状态)的路径。默认值为 /var/lib/docker。为避免与其他守护进程冲突,请为每个守护进程单独设置此参数。
  • -p, --pidfile=/var/run/docker.pid 是存储守护进程进程 ID 的路径。在此处指定 PID 文件的路径。
  • --host=[] 指定 Docker 守护进程侦听客户端连接的位置。如果未指定,则默认为 /var/run/docker.sock
  • --iptables=false 可防止 Docker 守护进程添加 iptables 规则。如果多个守护进程管理 iptables 规则,它们可能会覆盖另一个守护进程设置的规则。请注意,禁用此选项需要您手动添加 iptables 规则以公开容器端口。如果您阻止 Docker 添加 iptables 规则,即使您将 --ip-masq 设置为 true,Docker 也不会添加 IP 伪装规则。如果没有 IP 伪装规则,Docker 容器在使用除默认桥接之外的其他网络时将无法连接到外部主机或互联网。
  • --config-file=/etc/docker/daemon.json 是存储配置文件的路径。您可以使用它代替守护进程标志。为每个守护进程指定路径。
  • --tls* Docker 守护进程支持 --tlsverify 模式,该模式强制执行加密和经过身份验证的远程连接。--tls* 选项启用对各个守护进程使用特定证书。

没有网络的独立“引导”实例 Docker 守护进程的示例脚本

$ sudo dockerd \
        -H unix:///var/run/docker-bootstrap.sock \
        -p /var/run/docker-bootstrap.pid \
        --iptables=false \
        --ip-masq=false \
        --bridge=none \
        --data-root=/var/lib/docker-bootstrap \
        --exec-root=/var/run/docker-bootstrap

默认网络选项

daemon.json 配置文件中的 default-network-opts 密钥以及等效的 --default-network-opt CLI 标志允许您为新网络指定驱动程序网络驱动程序选项的默认值。

以下示例显示如何使用 daemon.json 文件配置 bridge 驱动程序的选项。

{
  "default-network-opts": {
    "bridge": {
      "com.docker.network.bridge.host_binding_ipv4": "127.0.0.1",
      "com.docker.network.driver.mtu": "1234"
    }
  }
}

此示例使用 bridge 网络驱动程序。有关可用驱动程序选项的概述,请参阅 桥接网络驱动程序页面

更改配置并重新启动守护进程后,您创建的新网络将使用这些选项配置作为默认值。

$ docker network create mynet
$ docker network inspect mynet --format "{{json .Options}}"
{"com.docker.network.bridge.host_binding_ipv4":"127.0.0.1","com.docker.network.driver.mtu":"1234"}

请注意,更改此守护进程配置不会影响预先存在的网络。

使用 --default-network-opt CLI 标志对于测试和调试目的很有用,但您应优先使用 daemon.json 文件进行持久性守护进程配置。CLI 标志期望值为以下格式:driver=opt=value,例如

$ sudo dockerd \
  --default-network-opt bridge=com.docker.network.bridge.host_binding_ipv4=127.0.0.1 \
  --default-network-opt bridge=com.docker.network.driver.mtu=1234