一、资源限制导致的不可用

当Docker服务突然中断时，首先要检查系统资源是否达到临界值。通过docker stats命令查看容器资源占用情况，重点关注CPU、内存、磁盘I/O三项指标。例如某开发团队曾遇到容器频繁重启，经排查发现是单个容器占用了98%的CPU资源，导致宿主机OOM Killer触发。

内存溢出解决方案

1. 使用-m参数限制容器内存：

   docker run -d --name my_container -m 512m nginx

2. 配置cgroups内存限制（需root权限）：

   echo "1G" > /sys/fs/cgroup/memory/docker/<container-id>/memory.limit_in_bytes

3. 优化应用内存使用，建议通过docker-compose配置swap空间：

   services:
   app:
    image: myapp
    mem_limit: 1g
    memswap_limit: 2g

磁盘空间告警处理

当出现no space left on device错误时，需执行三步清理：

1. 删除无用镜像：

   docker image prune -a --filter "until=24h"

2. 清理构建缓存：

   docker builder prune -f

3. 检查/var/lib/docker目录空间使用情况，必要时扩展磁盘或迁移存储路径。

二、配置错误引发的服务中断

常见的配置问题包括：

1. daemon.json配置错误：某企业因误将”registry-mirrors”配置为无效地址，导致所有镜像拉取失败。修复前需备份配置文件：

   cp /etc/docker/daemon.json /etc/docker/daemon.json.bak

2. 网络模式冲突：当使用--network=host时，若宿主机80端口已被占用，容器将无法启动。建议改用自定义网络：

   docker network create my_net
   docker run --network=my_net -p 8080:80 nginx

3. 存储驱动不兼容：在CentOS 7上使用overlay2驱动时，需确保内核版本≥3.10.0-514。可通过以下命令验证：

   grep overlay /proc/filesystems
   docker info | grep Storage

三、网络故障诊断与修复

网络问题通常表现为：

1. 容器间通信失败：检查自定义网络是否创建成功：

   docker network inspect my_net

2. 外部访问不通：确认防火墙规则是否放行容器端口：

   iptables -L -n | grep 8080

3. DNS解析异常：修改/etc/docker/daemon.json添加DNS配置：

   {
   "dns": ["8.8.8.8", "114.114.114.114"]
   }

   重启服务后验证：

   docker exec -it my_container ping google.com

四、镜像相关问题处理

镜像问题占故障案例的35%，常见场景包括：

1. 镜像拉取失败：配置国内镜像源加速：

   {
   "registry-mirrors": [
    "https://registry.docker-cn.com",
    "https://mirror.baidubce.com"
   ]
   }

2. 镜像损坏：使用docker load --input重新导入镜像前，需先删除损坏镜像：

   docker rmi <image-id> --force

3. 层缓存失效：构建时添加--no-cache参数强制重新构建：

   docker build --no-cache -t myapp .

五、预防性维护建议

1. 监控体系搭建：

   • 使用Prometheus+Grafana监控Docker指标
   • 配置Alertmanager触发资源告警
   • 示例监控脚本：

     #!/bin/bash
     while true; do
     MEM_USAGE=$(docker stats --no-stream --format "{{.MemPerc}}" | awk '{sum+=$1} END {print sum/NR}')
     if (( $(echo "$MEM_USAGE > 90" | bc -l) )); then
     echo "CRITICAL: Docker memory usage ${MEM_USAGE}% exceeds threshold" | mail -s "Docker Alert" admin@example.com
     fi
     sleep 300
     done

2. 备份策略：

   • 定期备份/var/lib/docker目录
   • 使用docker save导出关键镜像：

     docker save -o myapp.tar myapp:latest

3. 版本管理：

   • 保持Docker引擎版本与客户端版本一致
   • 使用docker version --format '{{.Server.Version}}'检查版本
   • 升级前测试新版本兼容性：

     docker run --rm docker:edge version

当Docker服务不可用时，建议按照”资源→配置→网络→镜像”的顺序进行系统排查。对于生产环境，建议建立标准化故障处理流程：1) 收集日志（journalctl -u docker.service）2) 隔离问题范围3) 执行最小化修复4) 验证修复效果5) 更新运维文档。通过建立完善的监控预警体系，可将平均故障恢复时间（MTTR）从2.3小时缩短至15分钟以内。