卷

卷是容器的持久数据存储，由 Docker 创建和管理。您可以使用 docker volume create 命令显式创建卷，或者 Docker 可以在容器或服务创建期间创建卷。

当您创建一个卷时，它存储在 Docker 主机上的一个目录中。当您将卷挂载到容器中时，这个目录就是被挂载到容器中的目录。这与绑定挂载的工作方式类似，不同之处在于卷由 Docker 管理，并且与主机的核心功能隔离。

何时使用卷

卷是持久化由 Docker 容器生成和使用的数据的首选机制。虽然 绑定挂载 依赖于主机的目录结构和操作系统，但卷完全由 Docker 管理。卷是以下用例的良好选择：

• 卷比绑定挂载更容易备份或迁移。
• 您可以使用 Docker CLI 命令或 Docker API 来管理卷。
• 卷在 Linux 和 Windows 容器上均可使用。
• 卷可以在多个容器之间更安全地共享。
• 新卷的内容可以由容器或构建预先填充。
• 当您的应用程序需要高性能 I/O 时。

如果您需要从主机访问文件，卷并不是一个理想的选择，因为卷完全由Docker管理。如果您需要从容器和主机同时访问文件或目录，请使用 绑定挂载 。

卷通常是比将数据直接写入容器更好的选择，因为卷不会增加使用它的容器的大小。使用卷也更快；写入容器的可写层需要存储驱动程序来管理文件系统。存储驱动程序使用Linux内核提供联合文件系统。与直接写入主机文件系统的卷相比，这种额外的抽象会降低性能。

如果您的容器生成非持久化状态数据，请考虑使用 tmpfs 挂载以避免将数据永久存储在任何位置，并通过避免写入容器的 可写层来提高容器的性能。

卷使用 rprivate 绑定传播，且卷的绑定传播不可配置。

卷的生命周期

卷的内容存在于给定容器的生命周期之外。当容器被销毁时，可写层也会随之销毁。使用卷可以确保即使使用它的容器被移除，数据仍然持久保存。

一个给定的卷可以同时被挂载到多个容器中。当没有正在运行的容器使用卷时，该卷仍然对 Docker 可用，并且不会被自动删除。您可以使用 docker volume prune 删除未使用的卷。

在现有数据上挂载卷

如果你将一个非空卷挂载到容器中已有文件或目录的目录中，预先存在的文件将被挂载所遮蔽。这类似于在Linux主机上将文件保存到/mnt中， 然后将USB驱动器挂载到/mnt中。/mnt的内容将被USB驱动器的内容遮蔽， 直到USB驱动器被卸载。

使用容器时，没有直接的方法来移除挂载以重新显示被隐藏的文件。最好的选择是重新创建不包含该挂载的容器。

如果您将一个空卷挂载到容器中已有文件或目录的目录，这些文件或目录默认会被传播（复制）到卷中。同样，如果您启动一个容器并指定一个尚不存在的卷，系统会为您创建一个空卷。这是预填充另一个容器所需数据的好方法。

为了防止 Docker 将容器的现有文件复制到空卷中，请使用 volume-nocopy 选项，参见 --mount 选项。

命名卷和匿名卷

卷可以是命名卷或匿名卷。匿名卷会被赋予一个随机名称，该名称在给定的 Docker 主机上保证是唯一的。与命名卷一样，即使删除使用匿名卷的容器，匿名卷也会保留，除非在创建容器时使用了 --rm 标志，在这种情况下，与容器关联的匿名卷将被销毁。请参阅 删除匿名卷。

如果您连续创建多个容器，且每个容器都使用匿名卷，那么每个容器都会创建自己的卷。匿名卷不会在容器之间自动重用或共享。要在两个或多个容器之间共享匿名卷，您必须使用随机卷ID来挂载该匿名卷。

语法

要使用 docker run 命令挂载卷，您可以使用 --mount 或 --volume 标志。

$ docker run --mount type=volume,src=<volume-name>,dst=<mount-path>
$ docker run --volume <volume-name>:<mount-path>

通常情况下，首选 --mount。主要区别在于 --mount 标志更明确，并支持所有可用选项。

如果您想要：，则必须使用 --mount

• 指定 卷驱动选项
• 挂载 卷子目录
• 将卷挂载到 Swarm 服务中

--mount 的选项

--mount 标志由多个键值对组成，用逗号分隔，每个键值对由一个 <key>=<value> 元组组成。键的顺序不重要。

$ docker run --mount type=volume[,src=<volume-name>],dst=<mount-path>[,<key>=<value>...]

--mount type=volume 的有效选项包括：

$ docker run --mount type=volume,src=myvolume,dst=/data,ro,volume-subpath=/foo

--volume 的选项

--volume 或 -v 标志由三个字段组成，用冒号字符（:）分隔。字段必须按正确的顺序排列。

$ docker run -v [<volume-name>:]<mount-path>[:opts]

对于命名卷，第一个字段是卷的名称，并且在给定的主机上是唯一的。对于匿名卷，第一个字段被省略。第二个字段是文件或目录在容器中挂载的路径。

第三个字段是可选的，并且是一个逗号分隔的选项列表。对于带有数据卷的 --volume，有效选项包括：

$ docker run -v myvolume:/data:ro

创建和管理卷

与绑定挂载不同，您可以在任何容器范围之外创建和管理卷。

创建一个卷：

$ docker volume create my-vol

列出卷：

$ docker volume ls

local               my-vol

检查一个卷：

$ docker volume inspect my-vol
[
    {
        "Driver": "local",
        "Labels": {},
        "Mountpoint": "/var/lib/docker/volumes/my-vol/_data",
        "Name": "my-vol",
        "Options": {},
        "Scope": "local"
    }
]

删除卷：

$ docker volume rm my-vol

使用卷启动容器

如果您启动一个带有尚未存在的卷的容器，Docker 会为您创建该卷。以下示例将卷 myvol2 挂载到容器中的 /app/。

以下 -v 和 --mount 示例产生相同的结果。除非在运行第一个示例后删除 devtest 容器和 myvol2 卷，否则您无法同时运行它们。

$ docker run -d \
  --name devtest \
  --mount source=myvol2,target=/app \
  nginx:latest

$ docker run -d \
  --name devtest \
  -v myvol2:/app \
  nginx:latest

使用 docker inspect devtest 验证 Docker 已创建卷并正确挂载。 查找 Mounts 部分：

"Mounts": [
    {
        "Type": "volume",
        "Name": "myvol2",
        "Source": "/var/lib/docker/volumes/myvol2/_data",
        "Destination": "/app",
        "Driver": "local",
        "Mode": "",
        "RW": true,
        "Propagation": ""
    }
],

这表明挂载是一个卷，它显示了正确的源和目标，并且该挂载是可读写的。

停止容器并删除卷。请注意，删除卷是一个单独的步骤。

$ docker container stop devtest

$ docker container rm devtest

$ docker volume rm myvol2

使用 Docker Compose 的卷

以下示例展示了一个带有数据卷的单一 Docker Compose 服务：

services:
  frontend:
    image: node:lts
    volumes:
      - myapp:/home/node/app
volumes:
  myapp:

第一次运行 docker compose up 时会创建一个卷。当你后续运行该命令时，Docker 会重用同一个卷。

您可以使用 docker volume create 在 Compose 之外直接创建卷，然后在 compose.yaml 中引用它，如下所示：

services:
  frontend:
    image: node:lts
    volumes:
      - myapp:/home/node/app
volumes:
  myapp:
    external: true

有关在 Compose 中使用卷的更多信息，请参阅 卷 部分，位于 Compose 规范中。

使用卷启动服务

当您启动服务并定义一个卷时，每个服务容器都会使用其自己的 本地卷。如果您使用 local 卷驱动程序，则没有任何容器可以共享此数据。但是，某些卷驱动程序确实支持共享存储。

以下示例启动了一个 nginx 服务，该服务包含四个副本，每个副本 使用一个名为 myvol2 的本地卷。

$ docker service create -d \
  --replicas=4 \
  --name devtest-service \
  --mount source=myvol2,target=/app \
  nginx:latest

使用 docker service ps devtest-service 来验证服务是否正在运行：

$ docker service ps devtest-service

ID                  NAME                IMAGE               NODE                DESIRED STATE       CURRENT STATE            ERROR               PORTS
4d7oz1j85wwn        devtest-service.1   nginx:latest        moby                Running             Running 14 seconds ago

您可以移除服务以停止正在运行的任务：

$ docker service rm devtest-service

删除服务不会删除由该服务创建的任何卷。 卷的删除是一个单独的步骤。

使用容器填充卷

如果您启动一个创建新卷的容器，并且该容器在要挂载的目录中有文件或目录，例如 /app/， Docker 会将该目录的内容复制到卷中。然后容器挂载并使用该卷， 其他使用该卷的容器也可以访问预先填充的内容。

为了演示这一点，以下示例启动了一个 nginx 容器，并使用容器的 /usr/share/nginx/html 目录中的内容填充新卷 nginx-vol。这是 Nginx 存储其默认 HTML 内容的地方。

--mount 和 -v 示例具有相同的最终结果。

$ docker run -d \
  --name=nginxtest \
  --mount source=nginx-vol,destination=/usr/share/nginx/html \
  nginx:latest

$ docker run -d \
  --name=nginxtest \
  -v nginx-vol:/usr/share/nginx/html \
  nginx:latest

在运行上述任一示例后，执行以下命令以清理 容器和卷。请注意，移除卷是一个单独的步骤。

$ docker container stop nginxtest

$ docker container rm nginxtest

$ docker volume rm nginx-vol

使用只读卷

对于某些开发应用程序，容器需要写入绑定挂载，以便更改传播回 Docker 主机。在其他时候，容器只需要对数据进行只读访问。多个容器可以挂载同一个卷。你可以同时将单个卷作为 read-write 挂载给某些容器，而作为 read-only 挂载给其他容器。

以下示例对前一个示例进行了修改。它通过在容器内的挂载点之后，向（默认为空的）选项列表中添加 ro，将目录挂载为只读卷。当存在多个选项时，可以使用逗号将它们分隔开。

--mount 和 -v 示例的结果相同。

$ docker run -d \
  --name=nginxtest \
  --mount source=nginx-vol,destination=/usr/share/nginx/html,readonly \
  nginx:latest

$ docker run -d \
  --name=nginxtest \
  -v nginx-vol:/usr/share/nginx/html:ro \
  nginx:latest

使用 docker inspect nginxtest 来验证 Docker 是否正确创建了只读挂载。 查找 Mounts 部分：

"Mounts": [
    {
        "Type": "volume",
        "Name": "nginx-vol",
        "Source": "/var/lib/docker/volumes/nginx-vol/_data",
        "Destination": "/usr/share/nginx/html",
        "Driver": "local",
        "Mode": "",
        "RW": false,
        "Propagation": ""
    }
],

停止并删除容器，并删除卷。删除卷是一个单独的步骤。

$ docker container stop nginxtest

$ docker container rm nginxtest

$ docker volume rm nginx-vol

挂载卷子目录

当您将卷挂载到容器时，您可以指定卷的一个子目录来使用，通过为 --mount 标志指定 volume-subpath 参数。您指定的子目录必须在尝试将其挂载到容器之前存在于卷中；如果不存在，挂载将失败。

指定 volume-subpath 很有用，如果你只想与容器共享卷的特定部分。例如，你有多个正在运行的容器，并且想要将每个容器的日志存储在共享卷中。你可以在共享卷中为每个容器创建一个子目录，并将该子目录挂载到容器中。

以下示例创建一个 logs 卷并初始化卷中的子目录 app1 和 app2。然后启动两个容器，并将 logs 卷的一个子目录挂载到每个容器。此示例 假设容器中的进程将其日志写入 /var/log/app1 和 /var/log/app2。

$ docker volume create logs
$ docker run --rm \
  --mount src=logs,dst=/logs \
  alpine mkdir -p /logs/app1 /logs/app2
$ docker run -d \
  --name=app1 \
  --mount src=logs,dst=/var/log/app1/,volume-subpath=app1 \
  app1:latest
$ docker run -d \
  --name=app2 \
  --mount src=logs,dst=/var/log/app2,volume-subpath=app2 \
  app2:latest

通过此设置，容器将其日志写入到 logs 卷的独立子目录中。容器无法访问其他容器的日志。

在机器之间共享数据

在构建容错应用程序时，您可能需要配置同一服务的多个副本以访问相同的文件。

在开发应用程序时，有几种方法可以实现这一点。 一种是在应用程序中添加逻辑，将文件存储在云对象 存储系统（如 Amazon S3）上。另一种是创建带有驱动程序的卷， 该驱动程序支持将文件写入外部存储系统（如 NFS 或 Amazon S3）。

卷驱动让您能够将底层存储系统与应用程序逻辑分离。例如，如果您的服务使用带有 NFS 驱动的卷，您可以更新服务以使用不同的驱动。例如，将数据存储在云端，而无需更改应用程序逻辑。

使用卷驱动

当您使用 docker volume create 创建卷时，或者当您启动一个使用尚未创建的卷的容器时，您可以指定卷驱动程序。 以下示例使用 vieux/sshfs 卷驱动程序，首先是在创建独立卷时，然后是在启动创建新卷的容器时。

注意

如果您的卷驱动程序接受以逗号分隔的列表作为选项， 您必须从外部的 CSV 解析器中转义该值。要转义 volume-opt， 请用双引号（"）将其包围，并用单引号（'）将整个挂载参数 包围起来。

例如，local 驱动程序接受以逗号分隔的列表形式作为 o 参数的挂载选项。此示例显示了正确转义列表的方法。

$ docker service create \
 --mount 'type=volume,src=<VOLUME-NAME>,dst=<CONTAINER-PATH>,volume-driver=local,volume-opt=type=nfs,volume-opt=device=<nfs-server>:<nfs-path>,"volume-opt=o=addr=<nfs-address>,vers=4,soft,timeo=180,bg,tcp,rw"'
 --name myservice \
 <IMAGE>

初始设置

以下示例假设您有两个节点，第一个是 Docker 主机，可以使用 SSH 连接到第二个节点。

在 Docker 主机上，安装 vieux/sshfs 插件：

$ docker plugin install --grant-all-permissions vieux/sshfs

使用卷驱动程序创建卷

此示例指定了 SSH 密码，但如果两个主机配置了共享密钥，则可以省略密码。每个卷驱动程序可能有零个或多个可配置选项，您可以使用 -o 标志来指定每个选项。

$ docker volume create --driver vieux/sshfs \
  -o sshcmd=test@node2:/home/test \
  -o password=testpassword \
  sshvolume

启动一个使用卷驱动器创建卷的容器

以下示例指定了 SSH 密码。然而，如果两台主机已配置共享密钥，则可以省略密码。 每个卷驱动程序可能有零个或多个可配置选项。

注意

如果卷驱动程序要求您传递任何选项， 您必须使用 --mount 标志来挂载卷，而不是 -v。

$ docker run -d \
  --name sshfs-container \
  --mount type=volume,volume-driver=vieux/sshfs,src=sshvolume,target=/app,volume-opt=sshcmd=test@node2:/home/test,volume-opt=password=testpassword \
  nginx:latest

创建一个创建 NFS 卷的服务

以下示例展示了如何在创建服务时创建 NFS 卷。 它使用 10.0.0.10 作为 NFS 服务器，使用 /var/docker-nfs 作为 NFS 服务器上的导出目录。 请注意，指定的卷驱动程序是 local。

NFSv3

$ docker service create -d \
  --name nfs-service \
  --mount 'type=volume,source=nfsvolume,target=/app,volume-driver=local,volume-opt=type=nfs,volume-opt=device=:/var/docker-nfs,volume-opt=o=addr=10.0.0.10' \
  nginx:latest

NFSv4

$ docker service create -d \
    --name nfs-service \
    --mount 'type=volume,source=nfsvolume,target=/app,volume-driver=local,volume-opt=type=nfs,volume-opt=device=:/var/docker-nfs,"volume-opt=o=addr=10.0.0.10,rw,nfsvers=4,async"' \
    nginx:latest

创建 CIFS/Samba 卷

您可以在 Docker 中直接挂载 Samba 共享，而无需在主机上配置挂载点。

$ docker volume create \
	--driver local \
	--opt type=cifs \
	--opt device=//uxxxxx.your-server.de/backup \
	--opt o=addr=uxxxxx.your-server.de,username=uxxxxxxx,password=*****,file_mode=0777,dir_mode=0777 \
	--name cif-volume

如果您指定主机名而不是 IP 地址，则需要 addr 选项。 这允许 Docker 执行主机名查找。

块存储设备

您可以将块存储设备（如外部驱动器或驱动器分区）挂载到容器中。 以下示例展示了如何创建和使用文件作为块存储设备， 以及如何将块设备挂载为容器卷。

重要

以下步骤仅为示例。 此处所示的解决方案不建议作为一般做法。 除非您确信自己在做什么，否则不要尝试此方法。

块设备挂载如何工作

在底层，使用 local 存储驱动的 --mount 标志会调用 Linux mount 系统调用，并将您传递的选项原封不动地转发给它。 Docker 并没有在 Linux 内核支持的原生挂载功能之上实现任何额外的功能。

如果您熟悉 Linux mount 命令， 您可以将 --mount 选项理解为以以下方式转发到 mount 命令：

$ mount -t <mount.volume-opt.type> <mount.volume-opt.device> <mount.dst> -o <mount.volume-opts.o>

为了进一步解释这一点，请考虑以下 mount 命令示例。 此命令将 /dev/loop5 设备挂载到系统上的路径 /external-drive。

$ mount -t ext4 /dev/loop5 /external-drive

从正在运行的容器的角度来看，以下 docker run 命令实现了类似的结果。 使用此 --mount 选项运行容器会以与执行上一个示例中的 mount 命令相同的方式设置挂载。

$ docker run \
  --mount='type=volume,dst=/external-drive,volume-driver=local,volume-opt=device=/dev/loop5,volume-opt=type=ext4'

您无法直接在容器内运行 mount 命令， 因为容器无法访问 /dev/loop5 设备。 这就是为什么 docker run 命令使用 --mount 选项的原因。

示例：在容器中挂载块设备

以下步骤创建一个 ext4 文件系统并将其挂载到容器中。 您的系统对文件系统的支持取决于您使用的 Linux 内核版本。

1. 创建一个文件并为其分配一些空间：

   $ fallocate -l 1G disk.raw
   

2. 在 disk.raw 文件上构建文件系统：

   $ mkfs.ext4 disk.raw
   

3. 创建一个回环设备：

   $ losetup -f --show disk.raw
   /dev/loop5
   

   注意

   losetup 创建一个临时循环设备，该设备在系统重启后会被移除，或通过 losetup -d 手动移除。

4. 运行一个将 loop 设备挂载为卷的容器：

   $ docker run -it --rm \
     --mount='type=volume,dst=/external-drive,volume-driver=local,volume-opt=device=/dev/loop5,volume-opt=type=ext4' \
     ubuntu bash
   

   当容器启动时，路径 /external-drive 将主机文件系统中的 disk.raw 文件作为块设备挂载。

5. 完成后，当设备从容器中卸载时， 分离回环设备以从主机系统中移除该设备：

   $ losetup -d /dev/loop5
   

备份、还原或迁移数据卷

卷对于备份、恢复和迁移非常有用。 使用 --volumes-from 标志来创建一个挂载该卷的新容器。

备份卷

例如，创建一个名为 dbstore 的新容器：

$ docker run -v /dbdata --name dbstore ubuntu /bin/bash

在下一个命令中：

• 启动一个新容器并挂载来自 dbstore 容器的卷
• 将本地主机目录挂载为 /backup
• 传递一个命令，将 dbdata 卷的内容打包为 backup.tar 文件，存放在 /backup 目录中。

$ docker run --rm --volumes-from dbstore -v $(pwd):/backup ubuntu tar cvf /backup/backup.tar /dbdata

当命令完成且容器停止时，它会创建 dbdata 卷的备份。

从备份还原卷

利用刚刚创建的备份，您可以将其恢复到同一容器， 或者恢复到您在其他地方创建的另一个容器中。

例如，创建一个名为 dbstore2 的新容器：

$ docker run -v /dbdata --name dbstore2 ubuntu /bin/bash

然后，在新容器的数据卷中解压备份文件：

$ docker run --rm --volumes-from dbstore2 -v $(pwd):/backup ubuntu bash -c "cd /dbdata && tar xvf /backup/backup.tar --strip 1"

您可以使用这些技术，通过您偏好的工具自动执行备份、迁移和还原测试。

删除卷

删除容器后，Docker 数据卷仍然保留。需要考虑两种类型的卷：

• 命名卷具有来自容器外部的特定源，例如，awesome:/bar。
• 匿名卷没有特定的来源。因此，当容器被删除时，你可以指示 Docker Engine 守护进程将其删除。

移除匿名卷

要自动移除匿名卷，请使用 --rm 选项。例如， 此命令创建一个匿名 /foo 卷。当您移除容器时， Docker 引擎会移除 /foo 卷，但不会移除 awesome 卷。

$ docker run --rm -v /foo -v awesome:/bar busybox top

注意

如果另一个容器使用--volumes-from绑定卷， 卷定义将被复制，并且 匿名卷在第一个容器被移除后仍然保留。

删除所有卷

要删除所有未使用的卷并释放空间：

$ docker volume prune

后续步骤

• 了解 挂载绑定。
• 了解 tmpfs 挂载。
• 了解 存储驱动程序。
• 了解 第三方卷驱动程序插件。