Docker在CentOS上的监控怎么设置

在 CentOS 上搭建 Docker 监控的可落地方案

一 快速上手与内置工具

• 实时查看容器资源：使用 docker stats，可观察每个容器的 CPU、内存、网络 I/O、磁盘 I/O。示例：docker stats（或指定容器：docker stats <容器名或ID>）。适合临时排查与巡检。
• 查看 Docker 服务状态与日志：使用 systemd 管理 Docker，执行 sudo journalctl -u docker.service -f 实时跟踪守护进程日志，定位启动失败、重启等问题。
• 容器与主机层面概览：使用 systemd-cgtop 查看 cgroup 层级的资源占用，辅助定位容器对主机资源的影响。
• 快速网络连通性检查：对暴露端口做连通性验证，如 curl http://localhost:8080 测试 cAdvisor 页面是否可达。
  以上方法覆盖“看现状、查日志、定瓶颈”的前线需求，适合作为监控体系的起点。

二 基于 Prometheus + Grafana 的通用监控

• 组件与端口规划
  • cAdvisor：容器资源采集，默认监听 8080。
  • Prometheus：时序指标抓取与存储，默认监听 9090。
  • Grafana：可视化与告警面板，默认监听 3000。
• 一键启动（示例 docker-compose.yml）

  version: "3.8"
  services:
    cadvisor:
      image: gcr.io/cadvisor/cadvisor:v0.47.2
      container_name: cadvisor
      restart: unless-stopped
      volumes:
        - /:/rootfs:ro
        - /var/run:/var/run:ro
        - /sys:/sys:ro
        - /var/lib/docker:/var/lib/docker:ro
        - /dev/disk:/dev/disk:ro
      ports:
        - "8080:8080"
  
    prometheus:
      image: prom/prometheus:v2.55.0
      container_name: prometheus
      restart: unless-stopped
      volumes:
        - ./prometheus.yml:/etc/prometheus/prometheus.yml:ro
      ports:
        - "9090:9090"
  
    grafana:
      image: grafana/grafana:11.2.0
      container_name: grafana
      restart: unless-stopped
      environment:
        - GF_SECURITY_ADMIN_USER=admin
        - GF_SECURITY_ADMIN_PASSWORD=StrongPass!
      ports:
        - "3000:3000"
      volumes:
        - grafana_data:/var/lib/grafana
  
  volumes:
    grafana_data:
  

• Prometheus 抓取配置示例（prometheus.yml）

  global:
    scrape_interval: 15s
    evaluation_interval: 15s
  
  scrape_configs:
    - job_name: 'cadvisor'
      static_configs:
        - targets: ['cadvisor:8080']
  
    - job_name: 'prometheus'
      static_configs:
        - targets: ['localhost:9090']
  

• 访问与面板
  • 打开 http://<服务器IP>:3000 登录 Grafana（默认账号 admin / StrongPass!）。
  • 添加数据源：选择 Prometheus，URL 填 http://prometheus:9090。
  • 导入面板：使用社区面板 Docker and Host Monitoring (ID: 193)，或按需自建图表。
    该方案成熟、可扩展，适合单机到中小规模集群的统一监控。

三 启用 Docker 远程 API 与防火墙要点

• 编辑 Docker 守护进程配置（/etc/docker/daemon.json），添加监听地址：

  {
    "hosts": ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2375"]
  }
  

• 重启 Docker：sudo systemctl restart docker。
• 防火墙放行（示例）：sudo firewall-cmd --permanent --zone=trusted --add-port=2375/tcp && sudo firewall-cmd --reload。
• 安全建议：仅在受控网络或启用 TLS 的前提下开放 2375，生产环境优先采用 Unix Socket 或 TLS 证书 方式进行远程调用。
• 远程调用示例：curl http://<DOCKER_HOST>:2375/containers/json（如启用 TLS，需使用证书并在客户端指定）。
  以上步骤便于外部系统/脚本采集 Docker 元数据与事件，但务必重视安全配置。

四 Overlay 网络与底层网络监控

• 容器层指标：继续使用 cAdvisor/Prometheus 观察各容器的 网络 I/O，定位异常流量的容器来源。
• 服务发现：若使用 Consul/etcd 做服务编排/注册，可结合其服务发现能力，动态维护监控目标列表，减少手工维护成本。
• 主机/网络层流量：使用 iptables/nftables 观察 NAT/转发规则命中情况，辅助排查跨主机 overlay 流量问题：
  • sudo iptables -L -v -n
  • sudo nft list ruleset
• 抓包与深度分析：在宿主机执行 sudo tcpdump -i docker0 -nn 或针对 vxlan 接口抓包，分析 overlay 封装与跨主机通信细节。
  该分层方法从容器到网络栈逐级排查，更利于定位 overlay 场景中的连通性与性能问题。

五 可选方案与扩展

• 轻量一体化：cAdvisor + InfluxDB + Grafana
  • cAdvisor 负责采集，InfluxDB 持久化时序数据，Grafana 展示；适合单机或小规模环境，历史与告警能力可随 InfluxDB/Grafana 完善。
• 企业级与托管型：
  • Zabbix：可通过模板/代理监控 Docker 主机与容器指标，适合已有 Zabbix 体系的团队。
  • 商业/托管：Datadog、Dynatrace、ManageEngine Applications Manager、SolarWinds Librato、Sematext、Sumo Logic、SignalFX 等，提供开箱即用的仪表盘、日志关联、容量规划与智能告警，适合快速落地与大规模治理。
    选择时优先考虑团队已有栈、维护成本与告警/合规要求。