Docker在CentOS上的使用限制

Docker 在 CentOS 上的使用限制与规避

一 系统与版本边界

• 支持范围与内核基线：在 CentOS 7 上可稳定运行 Docker（建议 x86_64），要求内核不低于 3.10；早期 CentOS 6.5+ 也可用但已不推荐，生产环境优先选择 CentOS 7/8 Stream。内核或系统过旧会限制可用的存储驱动与特性。建议先确认版本：cat /etc/centos-release、uname -r、docker version。
• 存储驱动的历史限制：在 CentOS 7 上若使用早期 Docker（如 1.12.6）默认的 devicemapper（loop-lvm），会出现约 100GB 总容量与单容器 10GB 的上限，日志与镜像增长易触发故障。规避方式是升级 Docker 并改用 overlay2（需内核支持且 backing fs 启用 d_type）。

二 权限与安全边界

• 默认最小权限模型：容器以最小权限运行，很多宿主机能力被裁剪。需要特权操作时，可使用 --privileged（慎用）或更细粒度的 --cap-add/--device 等白名单方式，避免过度授权。
• 非 root 访问控制：默认情况下，只有 root 或加入 docker 用户组的用户可访问 Docker 守护进程。部分 RHEL/CentOS/Fedora 环境中，/var/run/docker.sock 可能属于 root:root，这比加入 docker 组的做法更安全（减少横向移动风险）。若必须开放给普通用户，建议通过 sudo 精细化授权并保留审计，而非直接加入 docker 组。

三 资源与内核功能限制

• 默认无配额：容器默认对 CPU/内存/IO 没有上限，可能抢占宿主机资源。可用运行时参数进行限制（示例：--cpus=1、--memory=512m、--blkio-weight=500、--device-read-bps=/dev/sda:1mb）。这些限制依赖内核与 cgroups，功能开关与效果以宿主机支持为准。
• 内存与 OOM：未设置内存上限时，容器可能触发宿主机 OOM，内核会按策略终止进程（容器进程更易被 kill）。不建议通过 --oom-kill-disable 或极端 --oom-score-adj 绕过，应通过合理设置 -m/--memory 与 --memory-reservation 来控险。
• 特定功能的前置条件：如 swap 限制、部分 blkio 细项等需要内核开启相应特性；可通过 docker info 检查是否存在如 “WARNING: No swap limit support” 的提示，必要时调整内核或启用相关配置。

四 存储与日志的常见限制与优化

• 日志滚动与容量控制：默认 json-file 日志可能无限增长。建议在 /etc/docker/daemon.json 中设置日志轮转，例如："log-driver":"json-file", "log-opts":{"max-size":"100m","max-file":"5"}，并重启 Docker 生效，防止 /var/lib/docker 被日志撑爆。
• 数据目录与磁盘配额：默认数据目录为 /var/lib/docker。空间不足时可迁移至大磁盘（在 daemon.json 中设置 "data-root":"/home/docker" 并同步数据后重启），或对 XFS 挂载点启用 usrquota/grpquota/pquota 做项目级配额管理。
• 更安全的存储驱动选择：在 CentOS 7 上优先使用 overlay2（需内核与文件系统支持 d_type），避免老版本默认 devicemapper（loop-lvm） 的容量与性能限制；升级 Docker 与内核后切换驱动可显著提升稳定性与上限。