docker 容器安全问题实验(打不死的小强-Docker容器实时还原)
docker 容器安全问题实验(打不死的小强-Docker容器实时还原)2.重新启动或加载Docker守护程序。}在Linux上,默认为/etc/docker/daemon.json文件,增加如下信息:{ "live-restore": true
在《打不死的小强!-Docker容器自动重启策略》中介绍了容器在退出时自动重新启动容器,以确保容器的正常使用。那么,如果在docker守护程序不可用的情况下,容器是否可以继续使用呢?
默认情况下,当Docker守护程序终止时,它会关闭正在运行的容器。但从Docker Engine 1.12开始,可以配置守护程序,以便在Docker守护程序不可用时容器可以保持运行状态。Docker的这种功能称为实时还原(live-restore)。实时还原有助于减少因守护程序崩溃,计划停电停机或升级而导致的容器停机时间。
启用实时还原,其实很简单。
1.将实时还原配置信息添加到守护程序配置文件中。
在Linux上,默认为/etc/docker/daemon.json文件,增加如下信息:
{
"live-restore": true
}
2.重新启动或加载Docker守护程序。
sudo systemctl restart docker
建议通过以下命令重新加载Docker Daemon,这样可以避免容器的任何宕机时间
sudo systemctl reload docker Docker升级期间实时还原
实时还原支持在Docker守护程序升级过程中继续保持容器的正常运行,但是这仅限于Docker守护程序Bug版本的升级,不支持守护程序主版本和次版本的升级。
如果跳版本升级,Docker守护程序可能无法恢复与容器的连接 也无法管理正在运行的容器,必须手动停止并重新启动容器。
Docker重启时实时还原Docker重启时,如果守护程序选项(如:桥接IP地址和图形驱动程序)没有更改,则实时还原将确保容器的正常运行。如果任何守护程序级别的配置选项发生更改,则实时还原可能不起作用,需要手动停止并重新启动容器。
注意事项1. Windows容器不支持实时还原,但适用于在Docker Desktop for Windows上运行的 Linux容器。
2. 实时还原仅适用于独立容器,不适用于群集服务。Swarm服务由群集管理器管理。如果群集管理器不可用,则群集服务将继续在工作节点上运行,但无法对其进行管理。
3. 如果Docker守护程序长时间处于关闭状态,那么运行的容器可能会填满Docker守护程序通常读取的FIFO日志,这将会阻止容器记录更多数据。默认缓冲区大小为64K。如果缓冲区已填满,则必须重新启动Docker守护程序才能刷新。在Linux上,可以通过修改内核的缓冲区大小 /proc/sys/fs/pipe-max-size。在Docker Desktop for Mac或Docker Desktop for Windows上无法修改缓冲区大小。
今天的分享就到这里,欢迎大家关注,收藏,转发,评论。谢谢大家支持!
