{ "registry-mirrors": ["https://xxxxxx.mirror.aliyuncs.com"], "live-restore": true, "log-driver": "json-file" }

2.1 容器网络连接故障排查指南

遇到容器无法访问外网的情况，先执行docker network inspect bridge查看默认网桥配置。阿里云ECS默认安全组策略可能拦截了容器流量，需在控制台放行特定端口的同时，确认未启用source/destination check选项。当多个容器绑定宿主机相同端口时，netstat -tulnp | grep 80这类命令能快速定位端口冲突。

跨主机通信异常往往与overlay网络驱动有关，检查docker info输出的Swarm状态是否误开启。在VPC环境下配置自定义路由表时，确保目标网段包含容器子网（默认172.17.0.0/16）。使用tcpdump抓包分析容器网卡流量，比如tcpdump -i docker0 port 53能观察DNS解析是否正常。

2.2 镜像拉取失败解决方案汇总

镜像拉取超时先执行docker info | grep Mirrors确认加速器生效状态。阿里云ACR私有镜像出现denied请求时，需要docker login registry.cn-hangzhou.aliyuncs.com完成认证。遇到manifest找不到的错误，尝试指定精确标签代替latest，例如mysql:8.0.32。

磁盘空间不足导致的拉取中断容易被忽视，df -h /var/lib/docker查看存储目录使用率。清理悬空镜像用docker image prune -a --filter "until=24h"保留最近一天的数据。海外镜像源访问困难时，可在阿里云国际版机器上配置代理中转。

2.3 存储驱动冲突处理方案

执行docker info | grep Storage确认当前驱动类型，xfs文件系统需要增加ftype=1挂载参数才能支持overlay2。迁移存储驱动前务必备份/var/lib/docker目录，修改/etc/docker/daemon.json添加"storage-driver": "overlay2"后，重启服务可能导致已有镜像不可用。

遇到Device is busy报错时，lsof +D /var/lib/docker找出占用文件的进程。ext4文件系统建议启用dir_index特性提升性能，执行tune2fs -O dir_index /dev/vdb后需要完整fsck检查。跨文件系统存储池配置，可考虑将docker根目录挂载到独立云盘。

2.4 服务启动报错深度分析

systemctl status docker -l显示退出码139时，往往是内核模块缺失导致，modprobe overlay加载必要模块。日志中出现failed to start daemon: Error initializing network controller的情况，需要删除/var/lib/docker/network/files并重启服务。

内存不足引发OOM killer终止进程时，dmesg | grep docker查看系统日志记录。升级内核后出现cgroup兼容性问题，在grub配置中添加cgroup.memory=nokmem参数可临时规避。针对docker.socket激活失败，重装docker-ce包有时比手动修复更高效。

2.5 权限管理最佳实践（含sudo权限配置）

将普通用户加入docker组的风险在于赋予其潜在root权限，更好的方案是配置sudo规则。在/etc/sudoers.d/docker文件中添加user ALL=(root) /usr/bin/docker run,/usr/bin/docker exec限制可用命令。采用授权插件如casbin实现RBAC控制，对接阿里云RAM进行权限同步。

容器内进程避免使用root用户运行，Dockerfile中应指定USER 1000。敏感目录挂载时添加:ro只读后缀，防止容器内恶意篡改。定期审计docker组成员，aliyun ecs DescribeInstances接口可批量检查服务器用户配置。