我已将主机文件系统挂载为只读。
/var/lib/docker 文件夹是只读的,除了:builder、buildkit、volumes、network、containers (这些文件夹已经用 tmpfs 挂载了)
当主机文件系统仍处于读/写模式时,Docker 镜像已经被拉入系统。
使用“docker run -d --read-only ....”创建并运行docker容器
这会导致错误:/var/lib/docker/overlay2/ac8d0771ddab8fcd44f40c75b342c5bfa4af80cdc11fae511a1e915c091feeeb-init:只读文件系统。”
我知道overlay2 文件夹包含图像的图层以及容器。由于容器以--read-only 启动,所以它不应该写入overlay2?
如果它必须创建一个(空的?)overlay2 文件夹,是否可以通过一些 docker daemon 配置选项将图像层的位置和容器的层分开?