Docker运维之最佳实践

作者简介：阳运生，有容云

容器技术的发展可以分为两个阶段，第一个阶段聚焦在IaaS层，仅仅把容器当做更轻量级虚拟机来使用，解决了应用运行时进程级资源隔离的问题；随着Docker的出现，容器虚拟化才有了统一的平台，由此容器技术发展到了第二个阶段，开始聚焦在PaaS层，以应用为中心，统一应用分发标准，实现DevOps。

本篇将针对操作系统、主机配置、容器镜像、容器运行时、Docker Daemon参数、Docker Daemon权限六大方面分享一些docker的运维经验；

操作系统

1.支持的操作系统类型

目前Docker官方支持的操作系统包含桌面版、服务器版、云提供商以及容器操作系统，具体如下：

• 桌面版：Mac、Windows；
• 服务器版：Windows Server、Centos、Debian、Fedora、Oracle Linux、RHEL、SLES、Ubuntu；
• 云提供商：AWS、Azure、阿里云等；
• 容器操作系统：RancherOS、CoreOS、Atomic、Photon；

2.操作系统的选择标准

有关操作系统的选择不能一概而论。首先，企业本身也有对操作系统的规定；其次，应用的不同也要求的操作系统不同；基于以上两点，若没有其他要求，相对而言采用容器操作系统有很大的优势。

容器操作系统相对于其他操作系统的优势有以下几点：

• 精简安全：容器操作系统只包含运行容器所需的必要软件和必要的管理工具，相比传统的操作系统而言会精简很多；所有应用通过容器的方式运行，从而使操作系统和应用软件隔离开来，极大降低了出现安全漏洞的概率；
• 升级回滚：系统采用可回滚的双分区模式，活动的分区通过只读方式挂载，另外一个分区用来自动更新, 通过切换系统分区即可实现快速升级，升级出现问题时，可以快速切换回原来的分区保证系统可用；
• 集群模式：在系统安装的时候便可自动加入内置的ETCD集群中，每个系统都可以通过本机的ETCD读取或发布配置信息和状态数据，通过选举形式在服务器之中选举Leader来同步数据，并以此确保集群之内信息始终可用；

主机配置

从安全性、稳定性、可靠性来讲，如何合理规划Docker运行环境非常重要，也是Docker运维的基础条件，下面会从容器分区、系统内核、Docker版本、Docker Daemon访问控制及日志审计来讲讲怎么规划：

• 单独为容器划分一个分区作为容器的存储空间：所有容器的数据、元数据默认都存储在