切换语言

OverlayFS 存储驱动程序

目录

OverlayFS 是一个联合文件系统。

本页将 Linux 内核驱动程序称为OverlayFS和 Docker storage 驱动程序设置为overlay2.

注意

fuse-overlayfs驱动程序中,请查看 Rootless 模式文档

先决条件

OverlayFS 是推荐的存储驱动程序,如果您满足以下条件,则支持 OverlayFS 先决条件:

  • Linux 内核 4.0 或更高版本,或者使用 内核版本 3.10.0-514 或更高版本。

  • overlay2支持 driverxfs后备文件系统、 但仅限于d_type=true启用。

    xfs_info要验证ftypeoption 设置为1.要格式化xfsfilesystem 中,请使用-n ftype=1.

  • 更改存储驱动程序会导致现有容器和镜像无法访问 在本地系统上。用docker save保存您构建的任何镜像,或者 在更改存储驱动程序之前,将它们推送到 Docker Hub 或私有注册表, 这样您就不需要在以后重新创建它们。

使用overlay2存储驱动程序

在执行此过程之前,您必须首先满足所有先决条件

以下步骤概述了如何配置overlay2storage 驱动程序。

  1. 停止 Docker。

    $ sudo systemctl stop docker

  2. 复制 的内容/var/lib/docker到临时位置。

    $ cp -au /var/lib/docker /var/lib/docker.bk

  3. 如果要使用与/var/lib/,格式化文件系统并将其挂载到/var/lib/docker. 确保将此挂载添加到/etc/fstab使其永久化。

  4. 编辑/etc/docker/daemon.json.如果尚不存在,请创建它。若 该文件为空,请添加以下内容。

    {
  "storage-driver": "overlay2"
}

    如果 Docker 的daemon.json文件包含无效的 JSON。

  5. 启动 Docker。

    $ sudo systemctl start docker

  6. 验证守护进程是否正在使用overlay2storage 驱动程序。 使用docker info命令并查找Storage DriverBacking filesystem.

    $ docker info

Containers: 0
Images: 0
Storage Driver: overlay2
 Backing Filesystem: xfs
 Supports d_type: true
 Native Overlay Diff: true
<...>

Docker 现在正在使用overlay2storage 驱动程序并自动 已创建具有所需lowerdir,upperdir,merged, 和workdir构建。

继续阅读有关 OverlayFS 如何在 Docker 中工作的详细信息 容器,以及性能建议和有关限制的信息 它与不同后备文件系统的兼容性。

如何overlay2驱动程序工作

OverlayFS 在单个 Linux 主机上对两个目录进行分层,并将它们显示为 单个目录。这些目录称为 层,而 unification 进程称为联合挂载。OverlayFS 引用较低的目录 如lowerdir和上层目录 aupperdir.统一视图公开 通过其自己的名为merged.

overlay2驱动程序原生支持多达 128 个较低的 OverlayFS 层。这 功能为与层相关的 Docker 命令提供更好的性能,例如 如docker builddocker commit,并且占用更少的 inode 文件系统。

磁盘上的镜像和容器层

使用docker pull ubuntu,您可以看到 下 6 个目录/var/lib/docker/overlay2.

警告

不要直接作/var/lib/docker/.这些文件和目录由 Docker 管理。

$ ls -l /var/lib/docker/overlay2

total 24
drwx------ 5 root root 4096 Jun 20 07:36 223c2864175491657d238e2664251df13b63adb8d050924fd1bfcdb278b866f7
drwx------ 3 root root 4096 Jun 20 07:36 3a36935c9df35472229c57f4a27105a136f5e4dbef0f87905b2e506e494e348b
drwx------ 5 root root 4096 Jun 20 07:36 4e9fa83caff3e8f4cc83693fa407a4a9fac9573deaf481506c102d484dd1e6a1
drwx------ 5 root root 4096 Jun 20 07:36 e8876a226237217ec61c4baf238a32992291d059fdac95ed6303bdff3f59cff5
drwx------ 5 root root 4096 Jun 20 07:36 eca1e4e1694283e001f200a667bb3cb40853cf2d1b12c29feda7422fed78afed
drwx------ 2 root root 4096 Jun 20 07:36 l

新的l(小写L) 目录中包含缩短的层标识符 符号链接。这些标识符用于避免影响页面大小 对mount命令。

$ ls -l /var/lib/docker/overlay2/l

total 20
lrwxrwxrwx 1 root root 72 Jun 20 07:36 6Y5IM2XC7TSNIJZZFLJCS6I4I4 -> ../3a36935c9df35472229c57f4a27105a136f5e4dbef0f87905b2e506e494e348b/diff
lrwxrwxrwx 1 root root 72 Jun 20 07:36 B3WWEFKBG3PLLV737KZFIASSW7 -> ../4e9fa83caff3e8f4cc83693fa407a4a9fac9573deaf481506c102d484dd1e6a1/diff
lrwxrwxrwx 1 root root 72 Jun 20 07:36 JEYMODZYFCZFYSDABYXD5MF6YO -> ../eca1e4e1694283e001f200a667bb3cb40853cf2d1b12c29feda7422fed78afed/diff
lrwxrwxrwx 1 root root 72 Jun 20 07:36 NFYKDW6APBCCUCTOUSYDH4DXAT -> ../223c2864175491657d238e2664251df13b63adb8d050924fd1bfcdb278b866f7/diff
lrwxrwxrwx 1 root root 72 Jun 20 07:36 UL2MW33MSE3Q5VYIKBRN4ZAGQP -> ../e8876a226237217ec61c4baf238a32992291d059fdac95ed6303bdff3f59cff5/diff

最低层包含一个名为link,其中包含 shortened 标识符,以及一个名为diff其中包含 图层的内容。

$ ls /var/lib/docker/overlay2/3a36935c9df35472229c57f4a27105a136f5e4dbef0f87905b2e506e494e348b/

diff  link

$ cat /var/lib/docker/overlay2/3a36935c9df35472229c57f4a27105a136f5e4dbef0f87905b2e506e494e348b/link

6Y5IM2XC7TSNIJZZFLJCS6I4I4

$ ls  /var/lib/docker/overlay2/3a36935c9df35472229c57f4a27105a136f5e4dbef0f87905b2e506e494e348b/diff

bin  boot  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var

第二低的图层和每个较高的图层都包含一个名为lower, 表示其父级,以及一个名为diff,其中包含其 内容。它还包含一个merged目录中,其中包含统一的 其父图层及其自身的内容,以及work目录 内部由 OverlayFS 提供。

$ ls /var/lib/docker/overlay2/223c2864175491657d238e2664251df13b63adb8d050924fd1bfcdb278b866f7

diff  link  lower  merged  work

$ cat /var/lib/docker/overlay2/223c2864175491657d238e2664251df13b63adb8d050924fd1bfcdb278b866f7/lower

l/6Y5IM2XC7TSNIJZZFLJCS6I4I4

$ ls /var/lib/docker/overlay2/223c2864175491657d238e2664251df13b63adb8d050924fd1bfcdb278b866f7/diff/

etc  sbin  usr  var

要查看在使用overlaystorage 驱动程序与 Docker 中,请使用mount命令。为了提高可读性,下面的输出被截断。

$ mount | grep overlay

overlay on /var/lib/docker/overlay2/9186877cdf386d0a3b016149cf30c208f326dca307529e646afce5b3f83f5304/merged
type overlay (rw,relatime,
lowerdir=l/DJA75GUWHWG7EWICFYX54FIOVT:l/B3WWEFKBG3PLLV737KZFIASSW7:l/JEYMODZYFCZFYSDABYXD5MF6YO:l/UL2MW33MSE3Q5VYIKBRN4ZAGQP:l/NFYKDW6APBCCUCTOUSYDH4DXAT:l/6Y5IM2XC7TSNIJZZFLJCS6I4I4,
upperdir=9186877cdf386d0a3b016149cf30c208f326dca307529e646afce5b3f83f5304/diff,
workdir=9186877cdf386d0a3b016149cf30c208f326dca307529e646afce5b3f83f5304/work)

rw在第二行显示overlaymount 是读写的。

下图显示了 Docker 镜像和 Docker 容器的 分层的。镜像层是lowerdir容器层是upperdir.如果镜像具有多个图层,则多个lowerdir目录 使用。统一视图通过名为merged哪 实际上是容器挂载点。

How Docker constructs map to OverlayFS constructs

其中镜像层和容器层包含相同的文件, 容器层 (upperdir) 优先并掩盖了 镜像层中的相同文件。

要创建容器,overlay2driver 将代表 镜像的顶层加上容器的新目录。镜像的 layers 是lowerdirs并且是只读的。的新目录 容器是upperdir并且是可写的。

磁盘上的镜像和容器层

以下内容docker pull命令显示正在下载 Docker 的 Docker 主机 镜像包含五个图层。

$ docker pull ubuntu

Using default tag: latest
latest: Pulling from library/ubuntu

5ba4f30e5bea: Pull complete
9d7d19c9dc56: Pull complete
ac6ad7efd0f9: Pull complete
e7491a747824: Pull complete
a3ed95caeb02: Pull complete
Digest: sha256:46fb5d001b88ad904c5c732b086b596b92cfb4a4840a3abd0e35dbb6870585e4
Status: Downloaded newer image for ubuntu:latest

镜像图层

每个镜像图层都有自己的目录/var/lib/docker/overlay/哪 包含其内容,如以下示例所示。镜像图层 ID 与目录 ID 不对应。

警告

不要直接作/var/lib/docker/.这些文件和目录由 Docker 管理。

$ ls -l /var/lib/docker/overlay/

total 20
drwx------ 3 root root 4096 Jun 20 16:11 38f3ed2eac129654acef11c32670b534670c3a06e483fce313d72e3e0a15baa8
drwx------ 3 root root 4096 Jun 20 16:11 55f1e14c361b90570df46371b20ce6d480c434981cbda5fd68c6ff61aa0a5358
drwx------ 3 root root 4096 Jun 20 16:11 824c8a961a4f5e8fe4f4243dab57c5be798e7fd195f6d88ab06aea92ba931654
drwx------ 3 root root 4096 Jun 20 16:11 ad0fe55125ebf599da124da175174a4b8c1878afe6907bf7c78570341f308461
drwx------ 3 root root 4096 Jun 20 16:11 edab9b5e5bf73f2997524eebeac1de4cf9c8b904fa8ad3ec43b3504196aa3801

镜像图层目录包含该图层独有的文件以及 指向与较低层共享的数据的硬链接。这样可以实现高效使用 的磁盘空间。

$ ls -i /var/lib/docker/overlay2/38f3ed2eac129654acef11c32670b534670c3a06e483fce313d72e3e0a15baa8/root/bin/ls

19793696 /var/lib/docker/overlay2/38f3ed2eac129654acef11c32670b534670c3a06e483fce313d72e3e0a15baa8/root/bin/ls

$ ls -i /var/lib/docker/overlay2/55f1e14c361b90570df46371b20ce6d480c434981cbda5fd68c6ff61aa0a5358/root/bin/ls

19793696 /var/lib/docker/overlay2/55f1e14c361b90570df46371b20ce6d480c434981cbda5fd68c6ff61aa0a5358/root/bin/ls

容器层

容器也存在于 Docker 主机的文件系统中的磁盘上,位于/var/lib/docker/overlay/.如果您列出正在运行的容器的子目录 使用ls -l命令,存在三个目录和一个文件:

$ ls -l /var/lib/docker/overlay2/<directory-of-running-container>

total 16
-rw-r--r-- 1 root root   64 Jun 20 16:39 lower-id
drwxr-xr-x 1 root root 4096 Jun 20 16:39 merged
drwxr-xr-x 4 root root 4096 Jun 20 16:39 upper
drwx------ 3 root root 4096 Jun 20 16:39 work

lower-idfile 包含容器镜像顶层的 ID 基于,即 OverlayFSlowerdir.

$ cat /var/lib/docker/overlay2/ec444863a55a9f1ca2df72223d459c5d940a721b2288ff86a3f27be28b53be6c/lower-id

55f1e14c361b90570df46371b20ce6d480c434981cbda5fd68c6ff61aa0a5358

upper目录包含容器读写层的内容, 对应于 OverlayFSupperdir.

mergeddirectory 是lowerdirupperdirs哪 包含正在运行的容器中的文件系统视图。

work目录是 OverlayFS 的内部。

要查看在使用overlay2storage 驱动程序与 Docker 中,请使用mount命令。以下输出被截断 可读性。

$ mount | grep overlay

overlay on /var/lib/docker/overlay2/l/ec444863a55a.../merged
type overlay (rw,relatime,lowerdir=/var/lib/docker/overlay2/l/55f1e14c361b.../root,
upperdir=/var/lib/docker/overlay2/l/ec444863a55a.../upper,
workdir=/var/lib/docker/overlay2/l/ec444863a55a.../work)

rw在第二行显示overlaymount 是读写的。

容器读取和写入的工作原理overlay2

读取文件

考虑三种情况,其中容器使用 覆盖。

文件在容器层中不存在

如果容器打开文件以进行读取访问,并且该文件尚不存在 在容器 (upperdir),则从镜像 (lowerdir).这 产生的性能开销非常小。

该文件仅存在于容器层中

如果容器打开一个文件进行读取访问,并且该文件存在于 容器 (upperdir) 而不是镜像 (lowerdir),则直接读取 从容器中。

该文件同时存在于容器层和镜像层中

如果容器打开文件进行读取访问,并且该文件存在于镜像中 layer 和容器层,则文件在容器层中的版本为 读。容器层中的文件 (upperdir) 遮蔽具有相同 名称 (lowerdir).

修改文件或目录

请考虑修改容器中文件的一些情况。

首次写入文件

容器首次写入现有文件时,该文件不会 存在于容器中 (upperdir).这overlay2驱动程序执行copy_up从镜像复制文件的作 (lowerdir) 到 容器 (upperdir).然后,容器将更改写入新副本 的文件。

但是,OverlayFS 在文件级别而不是块级别工作。这 表示所有 OverlayFScopy_up作会复制整个文件,即使 文件很大,并且只有一小部分被修改。这可以有 对容器写入性能有明显影响。然而,有两件事是 值得注意的是:

  • copy_up作仅在首次写入给定文件时发生 自。对同一文件的后续写入将对文件的副本进行作 已复制到容器。

  • OverlayFS 适用于多个图层。这意味着性能可以是 在包含多个图层的镜像中搜索文件时受到影响。

删除文件和目录

  • 在容器中删除文件时,将在 容器 (upperdir).镜像层中的文件版本 (lowerdir) 未被删除(因为lowerdir是只读的)。然而 whiteout 文件会阻止它对容器可用。

  • 删除容器中的目录时,不透明目录为 在容器 (upperdir).其工作方式与 whiteout 文件,并有效阻止目录被访问, 即使它仍然存在于镜像 (lowerdir).

重命名目录

rename(2),仅当源和 目标路径位于顶层。否则,它将返回EXDEV错误 (“不允许跨设备链接”)。您的应用程序需要设计为 处理EXDEV并回退到 “Copy and unlink” 策略。

OverlayFS 和 Docker 性能

overlay2可能表现优于btrfs.但是,请注意以下详细信息:

页面缓存

OverlayFS 支持页面缓存共享。多个容器访问相同的 文件共享该文件的单个页面缓存条目。这使得overlay2驱动程序对内存高效,是高密度用例的不错选择,例如 作为 PaaS。

复制

与其他写入时复制文件系统一样,OverlayFS 执行复制作 每当容器首次写入文件时。这可能会增加延迟 写入作,尤其是对于大文件。但是,一旦文件 已复制,则对该文件的所有后续写入都发生在上部 层,而无需进一步的复制作。

性能最佳实践

以下通用性能最佳实践适用于 OverlayFS。

使用快速存储

固态驱动器 (SSD) 的读取和写入速度比旋转磁盘更快。

将卷用于写入密集型工作负载

卷为写入密集型数据提供最佳且最可预测的性能 工作量。这是因为它们绕过了存储驱动程序,并且不会产生任何 精简配置和写入时复制可能引入的开销。 卷还有其他好处,例如允许您在 容器并保留数据,即使没有正在运行的容器正在使用它们。

OverlayFS 兼容性限制

总结 OverlayFS 与其他不兼容的方面 文件系统:

open(2)
OverlayFS 仅实现 POSIX 标准的子集。 这可能会导致某些 OverlayFS作违反 POSIX 标准。一 此类作称为复制作。假设您的应用程序调用fd1=open("foo", O_RDONLY)然后fd2=open("foo", O_RDWR).在这种情况下, 您的应用程序期望fd1fd2引用同一文件。然而,由于 复制到第二次调用open(2)这 描述符引用不同的文件。这fd1继续引用文件 在镜像 (lowerdir) 和fd2引用容器中的文件 (upperdir).解决方法是touch文件,这会导致 复制作。所有后续open(2)作无关 read-only 或 read-write 访问模式引用 容器 (upperdir).

yum已知会受到影响,除非yum-plugin-ovl包。 如果yum-plugin-ovl软件包在您的分配中不可用,例如 低于 6.8 或 7.2 的 RHEL/CentOS,您可能需要运行touch /var/lib/rpm/*运行前yum install.此包实现touch解决方法 上文引用的yum.

rename(2)
OverlayFS 不完全支持rename(2)system 调用。你 应用程序需要检测其故障并回退到“复制并取消链接” 策略。