今天聊一下生产环境 Docker 应该怎么配置，主要是如何处理日志，避免撑爆磁盘

1. Docker日志好坑

先说说Docker默认的日志机制，这里有个“坑”不得不提。它默认使用的是json-file日志驱动，听起来没什么问题，对吧？但关键在于，这个驱动会一直写日志，没有限制、没有轮转、更没有自动清理！

日志默认就堆在这个位置：

/var/lib/docker/containers//-json.log

等你发现它的时候，往往为时已晚。它可能已经悄无声息地占了几十个G，直接吃满磁盘，最终导致服务集体挂掉。这种场景，在运维工作中可不算少见。

2. 如何处理日志问题

核心思路就是通过日志轮转来管理。下面介绍三种设置日志轮转的主流方式，总有一款适合你的场景。

(1) 运行容器时设置轮转策略

最直接的方法，就是在启动容器时指定参数。比如启动一个Nginx容器：

docker run -d \
  --name nginx \
  --log-driver json-file \
  --log-opt max-size=10m \
  --log-opt max-file=3 \
  nginx:1.27

这里两个参数是关键：

• max-size=10m：意味着单个日志文件最大到10MB就会触发轮转。
• max-file=3：表示最多只保留3个轮转文件（当前写的一个，加上两个历史归档）。

这么一算，这个容器的日志总量就被牢牢控制在30MB以内，彻底告别“爆炸”风险。当然，这个配置只对当前启动的这个容器生效。

(2) 修改 Docker 配置

如果你觉得逐个容器配置太麻烦，想一劳永逸地对所有新容器生效，那就得修改Docker的全局配置。

编辑配置文件 /etc/docker/daemon.json：

[root@harbor ~]# cat /etc/docker/daemon.json
{
  "data-root": "/data/docker",
  "live-restore": true,
  "log-driver": "json-file",
  "log-opts": {
    "max-file": "3",
    "max-size": "10m"
  }
}

顺便解释一下这里的其他参数：

• data-root：这是设置Docker数据（包括镜像、容器、日志）的存放目录。默认在/var/lib/docker下，建议改到一个空间充足的独立挂载点。
• live-restore：这个功能很实用。启用后，重启Docker服务时，运行中的容器不会停止，可以有效避免因Docker重启导致业务中断。

配置完成后，别忘了重启Docker服务让配置生效：

systemctl restart docker

需要警惕的是，这个全局配置只对之后新创建的容器生效，之前已经运行的容器不受影响。

(3) 正在运行的容器

那对于已经在跑的老容器，日志已经堆积起来了，怎么办？

有一种快速但粗暴的清理方法（生产环境请慎用！）：

echo "" > $(docker inspect --format='{{.LogPath}}' )

或者，采用更稳妥的流程：先docker stop停掉容器，然后docker rm删除它，最后使用上面提到的轮转参数重新run起来。这相当于给容器做一次“日志管理升级”。

(4) 禁用日志输出

还有一种极端做法，就是直接禁用容器的日志驱动。命令如下：

docker run --log-driver=none 容器名

但必须提醒你，这个操作要慎用。虽然能彻底杜绝日志增长，但也意味着你无法通过docker logs命令查看容器输出，会给后续的问题排查带来很大不便，甚至可能影响某些依赖标准输出的应用运行。

(5) 日志快速清理

当磁盘真的告急，需要紧急释放空间时，可以临时使用这个命令批量清理所有容器的日志文件：

find /var/lib/docker/containers -name *-json.log -exec truncate -s 0 {} \;

这相当于把所有日志文件大小截断为零。记住，这仅是应急手段，不能作为常规管理方式。

3. 实战建议

最后，结合不同场景，给几点落地的配置建议。

首先，可以确定的是，Docker的默认日志设置在生产环境中基本不可用，手动配置轮转是必须项。

最佳实践可以总结为这么几条：

• 驱动与限制组合使用：继续使用json-file驱动，但务必搭配max-size和max-file参数，这是性价比最高的方案。
• 全局配置先行：优先在daemon.json中设置合理的全局默认值（如max-size=50m, max-file=5），形成基线标准。
• 存量容器处理：对于已有的老容器，要么安排时间窗口按上述流程重启并加入轮转参数，要么定期监控其日志大小并手动清理。
• 存储规划分离：通过data-root参数，将Docker的数据目录（包括日志）挂载到一个容量充足、独立于系统根目录的磁盘或分区上。这相当于为日志增长设置了一道物理隔离带，即使配置意外失效，也不会立刻拖垮整个系统。