tmpfs 挂载

绑定挂载 允许您在主机和容器之间共享文件,以便即使在容器停止后也能持久化数据。

如果您在 Linux 上运行 Docker,还有第三个选项:tmpfs 挂载。当您使用 tmpfs 挂载创建容器时,容器可以在容器的可写层之外创建文件。

与卷和绑定挂载不同,tmpfs 挂载是临时的,并且只存储在主机内存中。当容器停止时,tmpfs 挂载会被移除,写入其中的文件不会持久化。

tmpfs 挂载最适用于不希望数据在主机或容器内持久化的情况。这可能是出于安全考虑,或者当您的应用程序需要写入大量非持久性状态数据时,为了保护容器的性能。

重要提示

Docker 中的 tmpfs 挂载直接映射到 Linux 内核中的 tmpfs。因此,临时数据可能会被写入交换文件,从而持久化到文件系统。

覆盖现有数据进行挂载

如果您在容器中已存在文件或目录的目录中创建 tmpfs 挂载,则现有文件将被挂载所覆盖。这类似于在 Linux 主机上将文件保存到 /mnt,然后将 USB 驱动器挂载到 /mnt/mnt 的内容将被 USB 驱动器的内容覆盖,直到 USB 驱动器被卸载。

对于容器,没有直接的方法移除挂载以再次显示被覆盖的文件。最好的选择是重新创建不带该挂载的容器。

tmpfs 挂载的限制

  • 与卷和绑定挂载不同,您无法在容器之间共享 tmpfs 挂载。
  • 此功能仅在您于 Linux 上运行 Docker 时可用。
  • 设置 tmpfs 权限可能会导致它们在容器重启后重置。在某些情况下,设置 uid/gid 可以作为一种变通方法。

语法

要使用 docker run 命令挂载 tmpfs,您可以使用 --mount--tmpfs 标志。

$ docker run --mount type=tmpfs,dst=<mount-path>
$ docker run --tmpfs <mount-path>

通常,推荐使用 --mount。主要区别在于 --mount 标志更明确。另一方面,--tmpfs 更简洁,并且提供了更多灵活性,因为它允许您设置更多挂载选项。

--tmpfs 标志不能与 Swarm 服务一起使用。您必须使用 --mount

--tmpfs 的选项

--tmpfs 标志由两个字段组成,由冒号字符 (:) 分隔。

$ docker run --tmpfs <mount-path>[:opts]

第一个字段是要挂载到 tmpfs 的容器路径。第二个字段是可选的,允许您设置挂载选项。--tmpfs 的有效挂载选项包括

选项描述
ro创建只读的 tmpfs 挂载。
rw创建读写的 tmpfs 挂载(默认行为)。
nosuid不允许在执行期间遵从 setuidsetgid 位。
suid允许在执行期间遵从 setuidsetgid 位(默认行为)。
nodev可以创建设备文件,但它们不具备功能(访问会导致错误)。
dev可以创建设备文件,并且功能齐全。
exec允许在挂载的文件系统中执行可执行二进制文件。
noexec不允许在挂载的文件系统中执行可执行二进制文件。
sync对文件系统的所有 I/O 都同步进行。
async对文件系统的所有 I/O 都异步进行(默认行为)。
dirsync文件系统内的目录更新同步进行。
atime每次访问文件时更新文件访问时间。
noatime访问文件时不更新文件访问时间。
diratime每次访问目录时更新目录访问时间。
nodiratime访问目录时不更新目录访问时间。
size指定 tmpfs 挂载的大小,例如 size=64m
mode指定 tmpfs 挂载的文件模式(权限),例如 mode=1777
uid指定 tmpfs 挂载所有者的用户 ID,例如 uid=1000
gid指定 tmpfs 挂载所有者的组 ID,例如 gid=1000
nr_inodes指定 tmpfs 挂载的最大 inode 数,例如 nr_inodes=400k
nr_blocks指定 tmpfs 挂载的最大块数,例如 nr_blocks=1024
示例
$ docker run --tmpfs /data:noexec,size=1024,mode=1777

并非 Linux mount 命令中所有可用的 tmpfs 挂载功能都受 --tmpfs 标志支持。如果您需要高级的 tmpfs 选项或功能,可能需要使用特权容器或在 Docker 外部配置挂载。

注意

使用 --privileged 运行容器会授予提升的权限,并可能使主机系统面临安全风险。仅在绝对必要且在可信环境中才使用此选项。

$ docker run --privileged -it debian sh
/# mount -t tmpfs -o <options> tmpfs /data

--mount 的选项

--mount 标志由多个键值对组成,用逗号分隔,每个键值对都是一个 <key>=<value> 元组。键的顺序不重要。

$ docker run --mount type=tmpfs,dst=<mount-path>[,<key>=<value>...]

--mount type=tmpfs 的有效选项包括

选项描述
destination, dst, target要挂载到 tmpfs 的容器路径。
tmpfs-sizetmpfs 挂载的大小(字节)。如果未设置,tmpfs 卷的默认最大大小是主机总内存的 50%。
tmpfs-modetmpfs 的文件模式(八进制)。例如,7000770。默认为 1777 或世界可写。
示例
$ docker run --mount type=tmpfs,dst=/app,tmpfs-size=21474836480,tmpfs-mode=1770

在容器中使用 tmpfs 挂载

要在容器中使用 tmpfs 挂载,请使用 --tmpfs 标志,或使用带 type=tmpfsdestination 选项的 --mount 标志。tmpfs 挂载没有 source。以下示例在 Nginx 容器中将 /app 创建为 tmpfs 挂载。第一个示例使用 --mount 标志,第二个示例使用 --tmpfs 标志。


$ docker run -d \
  -it \
  --name tmptest \
  --mount type=tmpfs,destination=/app \
  nginx:latest

通过查看 docker inspect 输出的 Mounts 部分来验证挂载是否为 tmpfs 挂载

$ docker inspect tmptest --format '{{ json .Mounts }}'
[{"Type":"tmpfs","Source":"","Destination":"/app","Mode":"","RW":true,"Propagation":""}]
$ docker run -d \
  -it \
  --name tmptest \
  --tmpfs /app \
  nginx:latest

通过查看 docker inspect 输出的 Mounts 部分来验证挂载是否为 tmpfs 挂载

$ docker inspect tmptest --format '{{ json .Mounts }}'
{"/app":""}

停止并移除容器

$ docker stop tmptest
$ docker rm tmptest

下一步

页面选项