Docker 存储问题：数据卷挂载与权限

在使用 Docker 容器时，数据持久化和目录挂载是常见需求。但在实际操作中，常因权限问题导致容器无法访问宿主机目录。以下是解决挂载权限错误及配置数据卷的完整步骤。

解决挂载目录权限被拒问题

在 CentOS 7 等安全模块较强的系统中，直接挂载宿主机目录到容器内，常会报错 cannot open directory .: Permission denied。这是因为 SELinux 将目录挂载视为不安全行为并默认禁止。

1. 添加 特权参数
   在执行 docker run 命令时，加入 --privileged=true 参数。此参数能扩大容器的权限，使容器内的 root 用户拥有真正的 root 权限，从而解决挂载目录没有权限的问题。

2. 验证 权限开启
   使用该参数后，容器内部即可正常读写挂载的目录。基本的启动命令格式如下：

   docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名

配置容器数据卷实现持久化

数据卷（Volume）的设计目的是将数据独立于容器的生命周期，即使容器被删除，挂载卷中的数据也不会丢失，类似于 Redis 的 rdb 或 aof 文件机制。

1. 运行 带有数据卷的容器
   使用 -v 参数指定宿主机路径与容器内路径的映射。如果宿主机目录不存在，Docker 会自动创建。

   docker run -it --privileged=true -v /tmp/myHostData:/tmp/myDockerData --name myu1 ubuntu /bin/bash

2. 检查 挂载状态
   执行 以下命令查看容器详情，确认 Mounts 部分是否已正确配置挂载信息。

   docker inspect 容器ID

3. 测试 数据同步
   在容器内的 /tmp/myDockerData 目录创建文件，或在宿主机的 /tmp/myHostData 目录修改文件，你会发现两边的数据是实时同步的。无论在容器内还是宿主机上操作，另一方都能立即看到变化。

设置读写规则

默认情况下，挂载的数据卷是可读可写的（rw）。但为了安全起见，可以限制容器内部只能读取数据，而不能修改。

1. 设置 只读权限
   在挂载路径后添加 :ro 参数。此时容器内部只能读取文件，宿主机的修改会同步给容器，但容器无法写入数据。

   docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:ro 镜像名

2. 设置 可读可写权限
   在挂载路径后添加 :rw 参数，或者省略不写（默认即为可读可写）。

   docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:rw 镜像名

继承与共享数据卷

多个容器之间可以共享同一个数据卷，实现数据复用。

1. 启动 父容器
   先创建并运行一个容器 u1，并挂载好数据卷。

   docker run -it --privileged=true -v /mydocker/u:/tmp --name u1 ubuntu

2. 启动 子容器并继承
   使用 --volumes-from 参数，让新容器 u2 继承 u1 的挂载规则。这样 u2 就能直接访问 u1 挂载的目录数据。

   docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu

数据卷特性总结

理解以下特性有助于更好地规划数据存储：

1. 数据共享：卷可以在容器之间共享和重用。
2. 实时生效：对卷的修改会立即生效。
3. 镜像解耦：卷的更新不会影响镜像更新。
4. 生命周期独立：卷会一直存在，直到没有容器使用它。