概述#

本手册指导如何为 Containerd 容器配置基于 XFS Project Quota 的存储配额限制，适用于需要限制单个容器存储使用量的场景。

1. 环境准备与文件系统格式化#

1.1 检查现有块设备#

1
# 查看可用块设备
2
lsblk
3
fdisk -l

1.2 创建 XFS 文件系统（带配额支持）#

1
# 假设块设备为 /dev/sdb
2
mkfs.xfs -f -n ftype=1 -i size=512 -m crc=1,finobt=1 -l size=64m,version=2 /dev/sdb

1.3 挂载文件系统#

1
DEVICE=/dev/sdb
2
MOUNT_POINT=/var/lib/containerd
3
MOUNT_OPTS="defaults,noatime,nodiratime,inode64,pquota,allocsize=2m"
4

5
# 创建挂载目录
6
mkdir -p $MOUNT_POINT
7

8
# 临时挂载（带 pquota 选项）
9
mount -o $MOUNT_OPTS $DEVICE $MOUNT_POINT
10

11
# 永久挂载（编辑 /etc/fstab）
12
echo "$DEVICE  $MOUNT_POINT  xfs  $MOUNT_OPTS  0 0" >> /etc/fstab
13
echo "/dev/sdb  /var/lib/containerd  xfs  defaults,noatime,nodiratime,inode64,pquota,allocsize=2m  0 0" >> /etc/fstab
14
# 验证挂载
15
mount | grep $MOUNT_POINT
16
# 应看到：prjquota

2. 配置 Containerd 使用新存储#

2.1 备份现有数据#

1
# 停止 containerd
2
systemctl stop containerd
3

4
# 备份（如果已有数据）
5
cp -r /var/lib/containerd /var/lib/containerd.backup.$(date +%Y%m%d)

2.2 恢复数据#

1
# 从备份恢复
2
cp -r /var/lib/containerd.backup/* /var/lib/containerd/
3

4
# 修改权限
5
chown -R root:root /var/lib/containerd
6
chmod -R 755 /var/lib/containerd

2.3 重启 containerd#

1
systemctl start containerd
2
systemctl status containerd

3. Project Quota 基础操作#

3.1 创建和管理 Project ID#

1
# 查看所有 project
2
xfs_quota -x -c "report -p" /var/lib/containerd
3

4
# 为目录创建 project
5
# 语法：xfs_quota -x -c "project -s -p <目录> <project_id>" <挂载点>
6
xfs_quota -x -c "project -s -p /var/lib/containerd/test_dir 10001" /var/lib/containerd
7

8
# 递归设置目录下所有文件
9
xfs_quota -x -c "project -s -r -p /var/lib/containerd/test_dir 10001" /var/lib/containerd

3.2 启用继承属性#

1
# 设置目录继承属性，新文件自动继承 project ID
2
xfs_io -c "chattr +P" /var/lib/containerd/test_dir
3

4
# 验证继承属性
5
lsattr -d /var/lib/containerd/test_dir
6
# 应看到：-----------------P--

3.3 设置配额限制#

1
# 设置硬限制（1G）
2
xfs_quota -x -c "limit -p bhard=1g 10001" /var/lib/containerd
3

4
# 设置软限制（可选，900M）
5
xfs_quota -x -c "limit -p bsoft=900m 10001" /var/lib/containerd
6

7
# 设置 inode 限制（可选）
8
xfs_quota -x -c "limit -p ihard=10000 10001" /var/lib/containerd

4. Containerd 容器配额自动化配置#

4.1 创建自动化配置脚本#

1
cat > /usr/local/bin/set_container_quota.sh << 'EOF'
2
#!/bin/bash
3
# 为 Containerd 容器自动设置存储配额
4
# 用法：set_container_quota.sh <容器ID> <配额大小> [项目ID]
5

6
set -e
7

8
CONTAINER_ID="$1"
9
QUOTA_SIZE="$2"
10
PROJECT_ID="${3:-10001}"  # 默认为 10001
11

12
if [ -z "$CONTAINER_ID" ] || [ -z "$QUOTA_SIZE" ]; then
13
    echo "用法: $0 <容器ID> <配额大小> [项目ID]"
14
    echo "示例: $0 fc14a50da3d327cdf09a0161ddb85a3022e629180a4dc9ec512e10985ef678a6 1g 10001"
15
    exit 1
16
fi
17

18
# 查找容器的 upperdir
19
echo "正在查找容器 $CONTAINER_ID 的 upperdir..."
20
UPPERDIR=$(mount | grep overlay | grep "$CONTAINER_ID" | grep -o "upperdir=[^,]*" | cut -d= -f2)
21

22
if [ -z "$UPPERDIR" ]; then
23
    echo "错误: 找不到容器的 upperdir"
24
    exit 1
25
fi
26

27
echo "找到 upperdir: $UPPERDIR"
28

29
# 设置 project
30
echo "设置项目ID $PROJECT_ID 到目录..."
31
xfs_quota -x -c "project -s -p $UPPERDIR $PROJECT_ID" /var/lib/containerd
32

33
# 启用继承属性
34
echo "启用继承属性..."
35
xfs_io -c "chattr +P" "$UPPERDIR"
36

37
# 设置配额
38
echo "设置配额限制: $QUOTA_SIZE"
39
xfs_quota -x -c "limit -p bhard=${QUOTA_SIZE} $PROJECT_ID" /var/lib/containerd
40

41
# 验证
42
echo -e "\n验证设置:"
43
echo "1. 目录属性:"
44
lsattr -d "$UPPERDIR"
45

46
echo -e "\n2. 配额状态:"
47
xfs_quota -x -c "report -p -h" /var/lib/containerd | grep -A2 -B2 "#$PROJECT_ID"
48

49
echo -e "\n配额设置完成!"
50
EOF
51

52
chmod +x /usr/local/bin/set_container_quota.sh

4.2 监控脚本#

1
cat > /usr/local/bin/monitor_container_quota.sh << 'EOF'
2
#!/bin/bash
3
# 简单版监控脚本，直接使用人类可读格式
4

5
PROJECT_ID="${1:-10001}"
6
INTERVAL="${2:-5}"
7

8
echo "监控项目 $PROJECT_ID 的配额使用情况 (Ctrl+C 退出)..."
9
echo "时间                已用          软限制      硬限制      状态"
10
echo "----------------------------------------------------------------"
11

12
while true; do
13
    TIMESTAMP=$(date '+%H:%M:%S')
14

15
    # 使用 -h 选项直接获取人类可读格式
16
    QUOTA_INFO=$(xfs_quota -x -c "report -p -h" /var/lib/containerd 2>/dev/null | grep "^#$PROJECT_ID")
17

18
    if [ -n "$QUOTA_INFO" ]; then
19
        # 直接输出人类可读的格式
20
        USED=$(echo "$QUOTA_INFO" | awk '{print $2}')
21
        SOFT=$(echo "$QUOTA_INFO" | awk '{print $3}')
22
        HARD=$(echo "$QUOTA_INFO" | awk '{print $4}')
23
        STATUS=$(echo "$QUOTA_INFO" | awk '{for(i=5;i<=NF;i++) printf $i" "; print ""}')
24

25
        printf "%-8s  %-12s  %-12s  %-12s  %s\n" "$TIMESTAMP" "$USED" "$SOFT" "$HARD" "$STATUS"
26
    else
27
        echo "$TIMESTAMP  未找到项目 $PROJECT_ID 的配额信息"
28
    fi
29

30
    sleep $INTERVAL
31
done
32
EOF
33
chmod +x /usr/local/bin/monitor_container_quota.sh

5. 常用命令参考#

5.1 配额查看命令#

1
# 查看所有项目的配额
2
xfs_quota -x -c "report -p" /var/lib/containerd
3
xfs_quota -x -c "report -p -h" /var/lib/containerd  # 人类可读
4

5
# 查看特定项目的配额
6
xfs_quota -x -c "quota -p 10001" /var/lib/containerd
7
xfs_quota -x -c "quota -p 10001 -h" /var/lib/containerd
8

9
# 查看目录的项目关联
10
xfs_quota -x -c "project -c <目录>" /var/lib/containerd

5.2 文件属性查看#

1
# 查看文件/目录的 project ID
2
xfs_io -r -c "stat" <文件路径> | grep projid
3

4
# 查看继承属性
5
lsattr -d <目录路径>
6
lsattr -R <目录路径> | head -20
7

8
# 查看目录大小
9
du -sh <目录路径>

5.3 配额管理命令#

1
# 修改配额限制
2
xfs_quota -x -c "limit -p bhard=2g 10001" /var/lib/containerd
3

4
# 移除配额限制
5
xfs_quota -x -c "limit -p bhard=0 10001" /var/lib/containerd
6

7
# 重新计算配额（修复统计）
8
xfs_quota -x -c "repquota -p" /var/lib/containerd
9

10
# 清除项目的所有配额
11
xfs_quota -x -c "quotaoff -p 10001" /var/lib/containerd
12
xfs_quota -x -c "quotaon -p" /var/lib/containerd

5.4 Containerd 容器相关#

1
# 查看容器列表
2
ctr container ls
3
ctr task ls
4

5
# 查看容器详情
6
ctr container info <容器ID>
7

8
# 查看快照
9
ctr snapshot ls
10

11
# 查看容器挂载信息
12
mount | grep overlay | grep <容器ID>
13
cat /proc/$(pgrep -f "<容器ID>")/mountinfo | grep overlay

6. 测试验证#

6.1 基础配额测试#

1
#!/bin/bash
2
# 基础配额测试脚本
3

4
TEST_DIR="/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/13/fs"
5
PROJECT_ID=10001
6
QUOTA_LIMIT="1G"
7

8
echo "=== 开始配额测试 ==="
9
echo "测试目录: $TEST_DIR"
10
echo "项目ID: $PROJECT_ID"
11
echo "配额限制: $QUOTA_LIMIT"
12
echo
13

14
# 清理测试文件
15
cleanup() {
16
    echo "清理测试文件..."
17
    rm -f "$TEST_DIR"/test_*.dat 2>/dev/null
18
    xfs_quota -x -c "repquota -p" /var/lib/containerd
19
}
20
trap cleanup EXIT
21

22
# 初始状态
23
echo "1. 初始状态:"
24
xfs_quota -x -c "report -p -h" /var/lib/containerd | grep "#$PROJECT_ID"
25

26
# 测试1: 写入 600MB
27
echo -e "\n2. 写入 600MB 数据..."
28
dd if=/dev/zero of="$TEST_DIR/test1.dat" bs=1M count=600 2>/dev/null
29
echo "写入后状态:"
30
xfs_quota -x -c "report -p -h" /var/lib/containerd | grep "#$PROJECT_ID"
31

32
# 测试2: 尝试写入 500MB（应成功）
33
echo -e "\n3. 尝试写入 500MB 数据..."
34
dd if=/dev/zero of="$TEST_DIR/test2.dat" bs=1M count=500 2>&1 | tail -2
35
if [ $? -eq 0 ]; then
36
    echo "写入成功"
37
else
38
    echo "写入失败（预期内，达到配额限制）"
39
fi
40
echo "当前状态:"
41
xfs_quota -x -c "report -p -h" /var/lib/containerd | grep "#$PROJECT_ID"
42

43
# 测试3: 验证配额硬限制
44
echo -e "\n4. 验证硬限制..."
45
# 计算剩余空间
46
REMAINING=$(( 1024 - 600 ))  # 1G - 600M
47
if [ $REMAINING -gt 0 ]; then
48
    echo "尝试写入剩余 ${REMAINING}MB..."
49
    dd if=/dev/zero of="$TEST_DIR/test3.dat" bs=1M count=$REMAINING 2>&1 | tail -2
50
else
51
    echo "已达到配额限制"
52
fi
53

54
echo -e "\n5. 最终状态:"
55
xfs_quota -x -c "report -p -h" /var/lib/containerd | grep "#$PROJECT_ID"
56

57
echo -e "\n=== 测试完成 ==="

6.2 容器内测试#

1
# 运行测试容器
2
ctr run --rm -t docker.io/library/alpine:latest quota-test sh
3

4
# 在容器内执行
5
# 监控容器内磁盘使用
6
df -h /
7

8
# 测试写入
9
dd if=/dev/zero of=/test.dat bs=1M count=500
10
dd if=/dev/zero of=/test2.dat bs=1M count=500  # 应失败

6.3 实时监控测试#

1
# 在一个终端启动监控
2
/usr/local/bin/monitor_quota.sh 10001 2
3

4
# 在另一个终端执行写入测试
5
TEST_DIR="/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/13/fs"
6
for i in {1..20}; do
7
    echo "写入 100MB 数据 (第 $i 次)"
8
    dd if=/dev/zero of="$TEST_DIR/chunk_$i.dat" bs=1M count=100 2>/dev/null
9
    sleep 1
10
done

7. 故障排除#

7.1 常见问题#

问题	可能原因	解决方案
配额不生效	文件系统未启用 pquota	检查挂载选项，重新挂载
文件 project ID 为 0	未启用继承属性	执行 `xfs_io -c "chattr +P" <目录>`
配额统计不准确	缓存问题	执行 `xfs_quota -x -c "repquota -p"`
写入不触发限制	文件在其他 project	检查文件实际 project ID

7.2 诊断命令#

1
# 完整的诊断脚本
2
cat > /usr/local/bin/diagnose_quota.sh << 'EOF'
3
#!/bin/bash
4
echo "=== XFS Project Quota 诊断 ==="
5
echo
6

7
echo "1. 文件系统挂载信息:"
8
mount | grep containerd
9
echo
10

11
echo "2. 配额全局状态:"
12
xfs_quota -x -c "state" /var/lib/containerd
13
echo
14

15
echo "3. 所有项目配额:"
16
xfs_quota -x -c "report -p -h" /var/lib/containerd
17
echo
18

19
echo "4. 检查特定目录:"
20
if [ -n "$1" ]; then
21
    echo "检查目录: $1"
22
    lsattr -d "$1"
23
    echo
24
    xfs_quota -x -c "project -c $1" /var/lib/containerd
25
fi
26
EOF
27
chmod +x /usr/local/bin/diagnose_quota.sh

8. 最佳实践#

规划 Project ID
- 为系统预留 1-1000
- 为容器分配 1001-65535
- 建立映射文档
配额大小设置
- 根据应用需求设置合理配额
- 设置软限制提供缓冲
- 监控并定期调整
自动化管理
- 使用脚本自动化配额设置
- 集成到容器编排系统
- 设置监控告警

备份与恢复

1
# 备份配额配置
2
xfs_quota -x -c "report -p -b" /var/lib/containerd > quota_backup.txt
3

4
# 备份 project 映射
5
xfs_quota -x -c "project -d" /var/lib/containerd > project_backup.txt

附录#

A. XFS 配额单位换算#

1
1 block = 512 bytes (默认)
2
1KB = 2 blocks
3
1MB = 2048 blocks
4
1GB = 2097152 blocks

B. 相关配置文件#

1
/etc/fstab                    # 文件系统挂载配置
2
/etc/projects                # 项目ID映射（可选）
3
/etc/projid                  # 项目名称映射（可选）
4
/etc/containerd/config.toml  # Containerd 配置

C. 参考文档#

XFS 手册页: man xfs_quota
Containerd 文档: https://containerd.io/docs/
XFS 项目管理: https://xfs.org/docs/xfsdocs-xml-dev/XFS_User_Guide/tmp/en-US/html/xfs-quotas.html

重要提示: 在生产环境部署前，请在测试环境中充分验证。配额设置不当可能导致容器无法启动或数据丢失。