靠 docker run -v 挂载宿主机目录是最直接、最可靠的方式,容器内对挂载点的读写实时落在宿主机路径上,删容器重跑数据仍在;必须挂载关键路径(如 mysql 的 /var/lib/mysql),并提前配置好权限、路径和隔离策略。
容器里写入的文件怎么才能不重启就还在?
靠 docker run -v 挂载宿主机目录是最直接、最可靠的方式。容器内所有对挂载点的读写,都会实时落在宿主机路径上,哪怕容器删了、重跑,只要宿主机文件没动,数据就在。
常见错误是只用 docker commit 保存容器状态——这只能固化镜像层里的文件,而容器运行时产生的日志、数据库文件、上传的图片等,全在可写层,一重启就丢(除非你刻意用 docker start --interactive 复用旧容器)。
- 必须挂载:比如运行 MySQL 容器,
/var/lib/mysql必须映射到宿主机某个路径,否则每次docker stop && docker rm后库就空了 - 权限要提前设好:宿主机目录若属 root,且容器内进程以非 root 用户(如 mysql 用户)运行,会因权限不足无法写入,建议
chown 999:999 /path/on/host(查清镜像中服务用户的 UID/GID) - 别挂错路径:挂载
/app/config却忘了容器内应用实际读的是/etc/app.conf,挂了也白挂
bind mount 和 volume 选哪个?
日常开发和中小规模部署,优先用 bind mount(-v /host/path:/container/path),它透明、可控、调试方便;docker volume 更适合多容器共享或需要 Docker 管理生命周期的场景(比如 Swarm 集群里跨节点调度)。
容易踩的坑是误以为 volume 更“高级”就硬套:它默认路径藏在 /var/lib/docker/volumes/ 下,排查时得先 docker volume inspect vol-name 才能找到真实位置,不如 bind mount 一眼可见。
- 开发调试用 bind mount:改宿主机代码,容器里立刻生效;日志直接落本地,
tail -f就能看 - volume 适合无状态中间件间共享配置:比如多个 nginx 容器共用一个
nginx.confvolume,更新 volume 内容后 reload 即可 - 注意 volume 不自动同步宿主机文件:如果已有配置在宿主机,
docker volume create并不会把它们复制进去,得手动cp或用初始化容器
容器启动报错 “permission denied” 怎么快速定位?
八成是挂载路径权限或 SElinux 上的限制。先确认容器内进程 UID 是否有宿主机挂载目录的写权限;再检查是否启用了 SELinux(centos/RHEL 默认开),它会拦截容器对挂载目录的写操作。
典型错误现象:docker logs 看不到有效输出,docker exec -it container sh 进去后 ls -l /mounted/path 显示权限正常,但 touch test 报 Permission denied。
- 快速验证 SELinux:临时关掉试试,
setenforce 0;若恢复写入,说明是 SELinux 策略问题,加:z或:Z标签即可,例如-v /data:/var/www:z - 检查 UID/GID:进容器执行
id,再在宿主机查ls -ld /host/path,确保组 ID 匹配或目录有 group-writable 权限 - 别信镜像文档写的“默认用户”:有些镜像用
USER 1001,但实际启动脚本又su -c切回 root,导致权限判断失效,得看 entrypoint 脚本
多个容器要共用同一份数据,但又不能互相删对方的文件?
用同一个 bind mount 路径或 volume 是可行的,但必须靠应用层控制写入范围,Docker 本身不提供文件级隔离。真要防误删,得从目录结构和权限入手,而不是指望挂载机制。
比如两个 Web 应用容器都挂载 /shared/uploads,但各自只写 /shared/uploads/app-a/ 和 /shared/uploads/app-b/,再配合宿主机上设置 sticky bit(chmod +t /shared/uploads)防止跨目录删文件。
- 避免裸挂根目录:不要
-v /data:/data然后让所有容器自由写,风险极高 - 用子目录隔离:每个容器挂载自己的子路径,如
-v /data/app-a:/app/data,既清晰又安全 - 慎用
rw共享 volume 给有删除逻辑的容器:比如一个容器跑 rsync –delete,另一个跑日志轮转,可能互相干扰
持久化不是挂上就完事,关键是挂对位置、权限对齐、路径隔离清楚。最容易被忽略的是:挂载后没验证容器内进程是否真有写权限,而是等业务出问题才回头查——建议每次新挂载都进容器跑一遍 touch /mounted/test && rm /mounted/test。