Linux Overlay配置有哪些注意事项

Linux Overlay配置注意事项

一 内核与文件系统前提

• 明确使用的 Overlay 类型：一类是内核原生的 OverlayFS（联合文件系统，常用于容器镜像/根文件系统），另一类是容器平台的 Overlay 网络（跨主机容器互联，如 Docker Swarm/Kubernetes）。
• 内核版本要求：原生 OverlayFS 在现代发行版通常需 ≥ 3.18；在 CentOS 7 上若要使用 OverlayFS，推荐内核 ≥ 3.10.0-514。
• XFS 与 ftype：在 CentOS 7 上使用 OverlayFS 时，底层 XFS 需在格式化时开启 ftype=1（例如 mkfs.xfs 时使用 -n ftype=1），否则可能出现不兼容或不被支持的情况。
• 模块可用性：确保内核模块 overlay 已加载（可执行 modprobe overlay）。

二 原生 OverlayFS 挂载要点

• 目录与角色：准备 lowerdir（只读层，可多个，优先级从左到右递减）、upperdir（读写层）、workdir（内部工作目录）、merged（合并视图）。
• 关键限制：workdir 必须与 upperdir 位于同一文件系统；删除文件在 merged 层表现为“白out”标记，实际清理依赖 upperdir 空间回收。
• 基本挂载示例：
  mount -t overlay overlay
  -o lowerdir=/path/to/base,upperdir=/mnt/overlay/upper,workdir=/mnt/overlay/work
  /mnt/overlay/merged
• 持久化：如需开机挂载，可将上述挂载项加入 /etc/fstab。
• 场景提示：用于容器镜像/根文件系统时，通常通过容器运行时（如 Docker）或工具（如 fuse-overlayfs）间接管理，而非手工全部挂载。

三 Docker 存储驱动选择

• 驱动优先级：生产环境优先选择 overlay2（而非旧的 overlay），在 CentOS 7 上 Docker 默认即为 overlay2。
• 配置示例（/etc/docker/daemon.json）：
  {
  “storage-driver”: “overlay2”
  }
  修改后重启 Docker：systemctl restart docker。
• 兼容性提醒：个别老内核上若启用 overlay2 受限，可临时使用 "storage-driver": "overlay" 并配合 "overlay2.override_kernel_check": true（不建议长期使用）。
• 空间与监控：Overlay/overlay2 的 upperdir 会持续增长，需监控 /var/lib/docker 所在分区，避免因磁盘耗尽导致容器异常。

四 容器 Overlay 网络与安全

• 基本用法：在 Docker 中创建跨主机网络 docker network create -d overlay my_overlay；加入网络后容器可跨主机互通。
• 传输与加密：Overlay 网络常基于 VXLAN/GRE 封装，跨主机通信需放通相关流量；建议启用 TLS 加密控制面与数据面。
• 防火墙与策略：确保节点防火墙放行 VXLAN 端口（默认 8472/udp）及管理端口；如使用 Kubernetes，网络插件（如 Calico/Flannel）自带策略能力，应结合最小权限原则配置网络策略。
• 性能预期：封装会带来一定 延迟与开销，在极高吞吐/低时延场景需评估替代方案或调优网络平面。

五 SELinux 与系统安全

• SELinux 影响：在 CentOS/RHEL 上，SELinux 可能阻止 Docker 使用 OverlayFS 或限制容器对宿主机资源的访问。
• 处置思路：
  • 优先采用 SELinux 兼容 的部署方式（保留默认策略，按需在容器/宿主机侧设置正确的类型/级别）；
  • 如确需临时绕过，可在 Docker 启动参数中去除 –selinux-enabled（不推荐生产环境长期使用）。
• 变更前务必评估安全影响并做好回滚预案。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！