ubuntu overlay配置最佳实践

Ubuntu 上 Overlay 配置最佳实践

一 场景与选型

• 保护系统根文件系统：使用 overlayroot 将根分区设为只读，所有写入落到临时层（如 tmpfs）或持久化块设备，重启后恢复；适合 信息亭、嵌入式、演示环境。配置入口为 /etc/overlayroot.conf，常用选项如 overlayroot=“tmpfs”、swap=1、recurse=0（避免覆盖已挂载的数据分区）。需要临时改机时，可在 GRUB 启动项添加 overlayroot=disabled 进入可写模式。
• 普通目录联合挂载：在用户空间将多个目录层叠为单一视图，典型结构包含 lowerdir（只读层）、upperdir（可写层）、workdir（内部工作目录）、merged（合并视图）。适用于 chroot、构建环境、数据加工等场景。
• Docker 容器存储：优先选用 overlay2 而非 overlay。要求 Linux 内核 ≥ 4.0；若使用 XFS，需确保 d_type/ftype=1（用 xfs_info 检查，格式化时加 -n ftype=1）。切换存储驱动前先备份镜像/容器（如 docker save），避免现有数据不可访问。

二 标准配置步骤

• 目录与权限
  • 创建标准四层目录：mkdir -p /mnt/overlay/{lower,upper,work,merged}
  • 确保挂载点与目录权限正确（root 可写，必要时设置合适的 uid/gid 与 umask）。
• 手动挂载 OverlayFS
  • 基本命令：mount -t overlay overlay
    -o lowerdir=/mnt/overlay/lower,
    upperdir=/mnt/overlay/upper,
    workdir=/mnt/overlay/work
    /mnt/overlay/merged
  • 验证：mount | grep overlay；df -h /mnt/overlay/merged 应显示 Overlay 类型与 lower/upper 源。
• 持久化与自动挂载
  • 写入 /etc/fstab：/mnt/overlay/merged overlay defaults,lowerdir=/mnt/overlay/lower,upperdir=/mnt/overlay/upper,workdir=/mnt/overlay/work 0 0
  • 注意：/etc/fstab 中仅挂载 merged 视图；不要将 lower/upper/work 本身放入 fstab，避免循环依赖或提前使用未就绪目录。
• 只读根与 overlayroot（系统级保护）
  • 安装：apt-get install overlayroot
  • 配置：编辑 /etc/overlayroot.conf，设置如 overlayroot=“tmpfs:swap=1,recurse=0”
  • 临时可写：GRUB 启动项追加 overlayroot=disabled 进入可写根。

三 性能与稳定性要点

• 选择合适底层文件系统
  • ext4：通用稳定，默认支持 d_type，适合大多数场景。
  • XFS：需确认 ftype=1（xfs_info 输出中 ftype=1）。若 ftype=0，Docker 将跳过 overlay/overlay2，需重新格式化并迁移数据。
• 选择合适驱动与内核
  • Docker 优先 overlay2（内核 ≥ 4.0），支持多达 128 个 lower 层，inode 利用率更高；老内核才考虑 overlay（内核 ≥ 3.18）。
• 层与空间规划
  • 将频繁写入目录（如 /var/log、/var/lib、包缓存）放入 upperdir 所在分区，避免耗尽 tmpfs 或上层磁盘。
  • 对 overlayroot 的 tmpfs 场景，合理设置 size（如挂载选项 size=20% 或按需求设定），防止内存压力。
• 避免破坏合并视图
  • 不要直接修改 lowerdir；对 merged 视图的更改只会进入 upperdir，删除文件可能仅在 upper 中做“白out”标记，清理需处理 upper。
• 容器场景的额外建议
  • 避免存储驱动频繁切换；变更前备份镜像/容器（docker save/load 或推送到仓库）。
  • 监控 /var/lib/docker 所在分区空间与 inode 使用，及时清理无用镜像/容器/卷。

四 运维与排错清单

• 快速验证
  • 检查挂载：mount | grep overlay；确认 lowerdir/upperdir/workdir/merged 路径与权限正确。
  • 查看占用：df -h、du -sh /mnt/overlay/upper；overlayroot 场景可用 mount 观察 lowerdir=/media/root-ro、upperdir=/media/root-rw 等挂载关系。
• 常见问题
  • 挂载失败：确认 workdir 为空且与 upperdir 位于同一文件系统；检查 lowerdir 是否存在且可读。
  • XFS 不启用 d_type：Docker 不会使用 overlay/overlay2；用 xfs_info 核实，必要时备份后重格式化并挂载为 -n ftype=1。
  • 切换 Docker 存储驱动后数据不可见：这是预期行为；提前备份并在新驱动生效后恢复。
  • overlayroot 无法改机：进入可写模式需在 GRUB 启动项加 overlayroot=disabled 临时启动。