IT策士 10余年一线大厂经验,专注 IT 思维、架构、职场进阶。我会在各个平台持续发布最新文章,助你少走弯路。
上一篇文章,我们学会了管理容器的生命周期------启动、停止、重启、查看日志、进入调试。但有一个问题你肯定注意到了:容器一删,里面的数据就没了。
这可不是小事。数据库、用户上传的文件、应用日志......这些数据必须"活"得比容器本身更久。本篇将解决这个问题,带你掌握 Docker 的数据持久化技术:Volume(数据卷)与 Bind Mount(绑定挂载)。
一、为什么需要数据持久化?
1.1 容器的"短暂"本质
容器设计出来就是"即用即抛"的。回顾第 3 篇的知识:容器有一个可写层(Container Layer),所有运行时的修改都发生在这里。但这个可写层的生命周期与容器绑定------容器删除,可写层也随之销毁。
bash
# 做一个直观的对比实验
docker run -d --name temp-redis redis:alpine
docker exec temp-redis redis-cli set counter 100
docker rm -f temp-redis
docker run -d --name new-redis redis:alpine
docker exec new-redis redis-cli get counter
# 输出: (nil) ← 数据丢失了
docker rm -f new-redis在这个实验里,我们写入了 counter=100,删除容器后,数据随之消失。新容器虽然用的是同一份镜像,但它的可写层是全新的,对之前的数据一无所知。这就是容器的"短暂"本质------如果没有额外机制,任何写入操作都会在容器删除时灰飞烟灭。
1.2 哪些数据需要持久化?
在真实项目中,以下数据必须独立于容器生命周期:
-
数据库文件 :MySQL 的
.ibd、Redis 的 RDB/AOF 文件 -
应用日志:排查问题、安全审计、数据分析都依赖日志
-
用户上传文件:图片、文档、附件等业务数据
-
配置文件:某些需要动态修改或跨容器共享的配置
解决之道,就是把数据从"容器内"搬到"容器外"------存储到宿主机或专用的存储系统中。Docker 提供了两种主要机制:Volume 和 Bind Mount。
二、Docker 的三种挂载方式概览
-
Volume :数据存储在 Docker 的管理目录下(Linux 默认
/var/lib/docker/volumes/),Docker 负责创建、管理和清理。与宿主机文件系统解耦,是生产环境的首选。 -
Bind Mount :将宿主机上一个已存在的目录或文件直接映射到容器内。依赖宿主机的具体目录结构,适合开发调试。
-
tmpfs:将数据写入内存而非磁盘,容器停止后数据立即消失,适合存放不想落盘的敏感临时数据。
本篇重点讲 Volume 和 Bind Mount,tmpfs 会在第 9 篇网络进阶中结合安全场景补充。
三、Volume(数据卷):Docker 原生持久化方案
Volume 是 Docker 官方强烈推荐的数据持久化方式。它的核心优势有三点:
-
与宿主机路径解耦:你不需要知道数据到底存在宿主机的哪个角落,Docker 统一管理
-
跨平台兼容:Volume 驱动支持本地、NFS、云存储(AWS EBS 等),同一套命令在不同环境都能工作
-
安全的权限隔离:Docker 控制 Volume 的访问权限,比直接暴露宿主机路径更安全
3.1 匿名卷 vs 命名卷
Volume 分为匿名卷(Anonymous Volume)和命名卷(Named Volume)。
匿名卷 :没有指定名称,Docker 自动分配一个随机 ID。容器删除时,如果没加 -v 显式删除,匿名卷会残留在系统里变成"孤儿卷",是磁盘空间膨胀的常见元凶。
bash
# 创建匿名卷(仅指定容器内路径)
docker run -d --name anon-nginx -v /usr/share/nginx/html nginx
# 查看这个匿名卷
docker volume ls
# DRIVER VOLUME NAME
# local a1b2c3d4e5f6... ← 自动生成的长 ID命名卷:你主动给它起一个名字。这是生产环境的首选------可读性强、可复用、可备份。
bash
# 创建命名卷
docker volume create nginx-data
# 使用命名卷启动容器
docker run -d --name named-nginx -v nginx-data:/usr/share/nginx/html nginx
# 查看命名卷
docker volume ls
# DRIVER VOLUME NAME
# local nginx-data推荐原则:永远使用命名卷,除非你确定容器删了之后数据也不需要保留。 命名卷的命名让你一眼知道它属于哪个服务,迁移和备份时有明确的语义。
3.2 Volume 的创建、查看与删除
bash
# 创建命名卷
docker volume create my-volume
# 查看所有卷
docker volume ls
# 查看卷的详细信息(含宿主机实际存储路径)
docker volume inspect my-volume输出示例:
bash
[
{
"CreatedAt": "2025-01-20T10:00:00+08:00",
"Driver": "local",
"Labels": {},
"Mountpoint": "/var/lib/docker/volumes/my-volume/_data",
"Name": "my-volume",
"Options": {},
"Scope": "local"
}
]Mountpoint 就是这个卷在宿主机上的实际存储路径。Docker 用这个路径与容器的目标路径建立挂载关系。通常你不需要手动操作这个目录------用 docker cp 或进入容器操作即可------但了解它有助于理解数据流和调试权限问题。
bash
# 删除未使用的卷(⚠️ 被容器使用的卷不会被删除)
docker volume prune
# 删除指定卷(⚠️ 先确保没有容器在使用)
docker volume rm my-volume3.3 Volume 实战:Redis 数据持久化
现在让我们将贯穿案例中的 Redis 容器加上 Volume,实现数据持久化。
bash
# 1. 创建命名卷
docker volume create redis-data
# 2. 启动 Redis 并挂载数据卷
docker run -d --name my-redis \
-v redis-data:/data \
redis:alpine redis-server --appendonly yes参数解读:
-
-v redis-data:/data:将命名卷redis-data挂载到 Redis 的默认数据目录/data -
--appendonly yes:开启 AOF 持久化,数据会定期写入磁盘
bash
# 3. 写入测试数据
docker exec my-redis redis-cli set app:counter 42
# 4. 验证数据写入
docker exec my-redis redis-cli get app:counter
# 输出: "42"
# 5. 模拟灾难:删除容器并重建
docker rm -f my-redis
docker run -d --name my-redis \
-v redis-data:/data \
redis:alpine redis-server --appendonly yes
# 6. 验证数据仍然存在
docker exec my-redis redis-cli get app:counter
# 输出: "42" ← 数据恢复了!这就是 Volume 的威力------容器可以被销毁重建无数次,数据稳如泰山。
3.4 Volume 数据备份与恢复
生产环境中,定期备份 Volume 是必须的。以下是标准操作流程:
备份:
bash
# 方案一:使用临时容器打包备份(推荐)
docker run --rm \
-v redis-data:/source:ro \
-v $(pwd)/backup:/backup \
alpine \
tar czf /backup/redis-data-$(date +%Y%m%d).tar.gz -C /source .
# 方案二:直接复制文件(需知道宿主机路径)
sudo cp -r /var/lib/docker/volumes/redis-data/_data /tmp/backup/方案一的解读:
-
-v redis-data:/source:ro:将命名卷以只读模式挂载到临时容器的/source -
-v $(pwd)/backup:/backup:将当前目录下的backup文件夹挂载进去 -
alpine tar ...:临时容器执行打包命令,将/source的数据压缩存入/backup -
--rm:打包完成后自动删除临时容器
bash
# 查看备份文件
ls -lh backup/
# -rw-r--r-- 1 user user 2.3M backup/redis-data-20260120.tar.gz恢复:
bash
# 1. 创建新的命名卷(如果卷已损坏或丢失)
docker volume create redis-data-new
# 2. 使用临时容器解压恢复
docker run --rm \
-v redis-data-new:/target \
-v $(pwd)/backup:/backup \
alpine \
tar xzf /backup/redis-data-20260120.tar.gz -C /target
# 3. 用新卷启动容器验证
docker run -d --name restored-redis \
-v redis-data-new:/data \
redis:alpine
docker exec restored-redis redis-cli get app:counter
# 输出: "42" ← 恢复成功3.5 多个容器共享同一个 Volume
Volume 还支持多个容器同时挂载,实现数据共享:
bash
# 创建共享卷
docker volume create shared-logs
# 容器 1:Flask 应用写入日志
docker run -d --name flask-app \
-v shared-logs:/app/logs \
flask-redis-counter:2.0
# 容器 2:日志采集器(如 Filebeat)读取同一份日志
docker run -d --name log-shipper \
-v shared-logs:/var/log/app:ro \
filebeat:latest注意:多个容器同时写同一个文件可能导致数据竞争。通常的做法是一个容器写、另一个容器读(加 :ro 只读模式),或者不同容器写不同文件。
四、Bind Mount(绑定挂载):打通宿主机与容器
4.1 什么是 Bind Mount?
Bind Mount 直接将宿主机上的一个已存在目录或文件映射到容器内。与 Volume 不同,Bind Mount 的路径完全由你指定,Docker 不做任何管理。
bash
# 语法:-v <宿主机绝对路径>:<容器内路径>[:选项]
docker run -d --name dev-nginx \
-v /home/user/project/html:/usr/share/nginx/html:ro \
nginx-
宿主机路径必须是绝对路径,相对路径会被 Docker 误解析为 Volume 名称
-
:ro表示只读挂载,容器内的应用不能修改这个目录的内容 -
:rw(默认)可读写,但容器内修改也会同步到宿主机
4.2 Bind Mount vs Volume:选型对比
一句话总结:生产数据用 Volume,开发调试用 Bind Mount。
4.3 Bind Mount 实战:Flask 开发环境热重载
在第 4 篇和第 5 篇中,我们每次修改 app.py 都要重新 docker build,非常低效。有了 Bind Mount,我们可以实现代码修改后立刻生效。
首先,准备一个支持热重载的 Flask 启动方式。修改 app.py,在末尾加入开发模式标志(此处用环境变量控制):
bash
# app.py 末尾
if __name__ == '__main__':
debug_mode = os.environ.get('FLASK_ENV') == 'development'
app.run(host='0.0.0.0', port=5000, debug=debug_mode)然后启动容器:
bash
# 在项目根目录下执行(假设代码在 /home/user/flask-redis-counter)
docker run -d --name flask-dev \
-p 5000:5000 \
-e FLASK_ENV=development \
-v /home/user/flask-redis-counter:/app \
flask-redis-counter:2.0现在,你可以直接用 IDE 修改宿主机上的 app.py,修改完成后,容器内的 Flask 会自动检测到文件变化并重启应用进程。开发效率瞬间提升。
注意 :Bind Mount 覆盖了整个 /app 目录,这意味着容器启动时 /app 里的所有文件都来自宿主机。如果宿主机目录是空的,容器内的 /app 也会变成空的------这常导致"容器启动后什么都没跑"的困惑。确保宿主机目录已包含完整代码。
4.4 常用 Bind Mount 场景
场景一:Nginx 配置文件注入
bash
# 将自定义的 Nginx 配置挂载进去
docker run -d --name custom-nginx \
-p 80:80 \
-v /opt/nginx/nginx.conf:/etc/nginx/nginx.conf:ro \
-v /opt/nginx/html:/usr/share/nginx/html:ro \
nginx场景二:多容器共享主机文件
bash
# 多个容器共享宿主机的同一个数据目录
docker run -d --name app-1 -v /mnt/shared-data:/data app:v1
docker run -d --name app-2 -v /mnt/shared-data:/data app:v24.5 权限问题与注意事项
Bind Mount 最大的坑是文件权限。
宿主机的文件拥有宿主机的 UID/GID,容器内的用户拥有容器内的 UID/GID。两者的 UID 相同时才能正常读写。如果不一致,你会遇到"Permission denied"错误。
bash
# 示例:容器内以 appuser(UID 1000)运行,但宿主机文件属于 root(UID 0)
# 解决办法:调整宿主机文件权限
sudo chown -R 1000:1000 /home/user/flask-redis-counter另外,绝对不要将宿主机的敏感目录(如 /、/etc、/var/run/docker.sock)挂载到容器内,除非你非常清楚后果。挂载 docker.sock 等于把 Docker 控制权交给容器,极不安全。
五、tmpfs 挂载:内存级临时存储
tmpfs 是一种特殊挂载,将数据存储在主机的内存中而非磁盘。容器停止或重启后,数据立即消失。
bash
docker run -d --name tmp-test \
--tmpfs /app/tmp:rw,size=64m \
alpine sleep 3600-
--tmpfs /app/tmp:将容器内的/app/tmp挂载为 tmpfs -
rw:可读写 -
size=64m:限制最大大小为 64MB
适用场景:临时密钥缓存、解密后的凭证(不想落盘)、高 IO 的临时计算数据。
六、实战:为 Flask + Redis 计数器应用配置完整数据管理
现在,让我们用本篇知识为贯穿案例的应用加上持久化、热重载和日志管理。在项目目录下启动完整的开发环境:
bash
# 1. 创建命名卷用于 Redis 持久化和日志
docker volume create redis-data
docker volume create flask-logs
# 2. 启动 Redis(数据持久化)
docker run -d --name my-redis \
--network counter-net \
-v redis-data:/data \
redis:alpine redis-server --appendonly yes
# 3. 启动 Flask 应用(Bind Mount 热重载 + Volume 日志持久化)
docker run -d --name my-flask \
--network counter-net \
-p 5000:5000 \
-e FLASK_ENV=development \
-v $(pwd):/app \
-v flask-logs:/app/logs \
flask-redis-counter:2.0解读:
-
-v $(pwd):/app:Bind Mount 当前项目目录,实现代码热重载 -
-v flask-logs:/app/logs:Volume 挂载日志目录,日志独立于容器 -
--network counter-net:两个容器在同一网络中通信(第 8 篇会详细讲解)
验证数据持久化:
bash
# 写入计数器数据
curl http://localhost:5000
# Hello World! I have been seen 1 times.
# 停止并删除容器
docker rm -f my-flask my-redis
# 重建容器(使用同一个 Volume)
docker run -d --name my-redis --network counter-net \
-v redis-data:/data \
redis:alpine redis-server --appendonly yes
docker run -d --name my-flask --network counter-net \
-p 5000:5000 \
-v $(pwd):/app \
-v flask-logs:/app/logs \
flask-redis-counter:2.0
# 验证计数器继续增长
curl http://localhost:5000
# Hello World! I have been seen 2 times. ← 没有重置!七、命令速查表
八、本篇总结
这一篇我们系统解决了容器数据持久化的问题:
-
三种挂载方式:Volume(Docker 管理,生产首选)、Bind Mount(用户指定路径,开发首选)、tmpfs(内存存储,临时数据)
-
Volume 的核心操作:创建命名卷、多容器共享、备份与恢复
-
Bind Mount 的典型应用:开发环境热重载、配置文件注入
-
权限问题:理解宿主机与容器的 UID/GID 映射关系,避免 Permission denied
在 Kubernetes 中,这些概念将扩展为 PersistentVolume(PV)、PersistentVolumeClaim(PVC)和 StorageClass,但核心思想完全一致------将数据与计算分离。理解了 Docker 的 Volume,你就已经掌握了 K8s 存储体系的一半。
下一篇文章------第 8 篇:Docker 网络入门:桥接、自定义与主机网络,我们将深入容器通信的奥秘,学会如何让多个容器高效、安全地互访。
想了解更多还可以去各个平台搜索「IT策士」,一起升级 IT 思维 !