---

CentOS 系统上的 Docker 安装与高级配置详解

引言：容器化革命与 Docker 在 CentOS 上的地位

在现代软件开发和运维领域，容器化技术已经成为不可或缺的一部分。它提供了一种轻便、可移植、自给自足的环境，极大地简化了应用的部署、扩展和管理。Docker 无疑是当前最流行和使用最广泛的容器化平台。通过将应用及其所有依赖（库、系统工具、代码、运行时）打包到一个称为容器的标准化单元中，Docker 确保了应用在任何地方都能以相同的方式运行，无论是开发者的笔记本电脑、测试环境、生产服务器，还是云平台。

CentOS，作为一个稳定、开源的企业级 Linux 发行版，长期以来一直是服务器部署的首选操作系统之一。它提供了坚实的基础和长期的支持，使其成为运行关键业务应用的理想平台。将 Docker 强大的容器化能力与 CentOS 的稳定性结合，可以构建出高效、可靠的应用部署环境。

本文将提供一个详尽的指南，涵盖在 CentOS 系统上安装 Docker Community Edition (CE) 的推荐方法、基础验证以及关键的后安装配置步骤。我们将深入探讨如何设置非 root 用户权限、配置国内镜像源以加速镜像拉取、调整存储驱动、配置防火墙规则，以及一些常见的故障排除方法。无论您是刚接触 Docker 的新手，还是希望优化现有 CentOS Docker 环境的资深用户，本文都将为您提供宝贵的参考。

本文主要关注 CentOS 7 和 CentOS Stream 8/9，因为它们是目前仍在广泛使用或作为未来企业 Linux 基础的版本。请注意，CentOS Linux 8 已于 2021 年底达到生命周期结束 (EOL)，推荐迁移到 CentOS Stream 8/9 或其他派生发行版。尽管如此，本文提供的安装和配置步骤对于基于 yum 或 dnf 包管理器的 CentOS 系统（包括 7 和 Stream/8/9）大部分是通用的，因为 Docker 官方提供了统一的软件包仓库。

在开始安装之前，请确保您拥有具有 sudo 权限的非 root 用户账户，或者可以直接使用 root 用户进行操作。同时，系统需要能够访问互联网以下载 Docker 软件包。

第一部分：准备工作与旧版本清理

在安装新版本的 Docker 之前，强烈建议移除系统上可能存在的旧版本 Docker 或相关的软件包。这可以避免潜在的冲突和不可预测的行为。

1. 系统更新

首先，执行系统软件包更新，确保您的系统处于最新状态，这有助于避免依赖性问题。

bash
sudo yum update -y

或者，对于 CentOS Stream 8/9 使用 dnf:

bash
sudo dnf update -y

2. 卸载旧版本 Docker

如果您之前安装过 Docker 或相关的组件，请使用以下命令卸载它们。请注意，这些命令不会删除 Docker 容器、镜像、卷或网络配置文件。如果您想保留这些数据，请跳过此步骤。如果您想彻底清除，需要手动删除 /var/lib/docker 目录（请谨慎操作，这会丢失所有 Docker 数据！）。

“`bash

卸载旧版本的 Docker Engine、CLI 和 Containerd

sudo yum remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-engine \
containerd runc

对于 CentOS Stream 8/9 使用 dnf

# sudo dnf remove docker \
# docker-client \
# docker-client-latest \
# docker-common \
# docker-latest \
# docker-latest-logrotate \
# docker-logrotate \
# docker-engine \

containerd runc

可选：删除所有 Docker 数据（镜像、容器、卷等）

请三思而后行，此操作不可逆！

sudo rm -rf /var/lib/docker

sudo rm -rf /var/lib/containerd

“`

执行完卸载命令后，即使显示某些软件包未安装，也是正常现象。重要的是确保已知的旧版本软件包已被尝试移除。

第二部分：安装 Docker Engine

Docker 官方提供了专门的软件包仓库，这是在 CentOS 上安装 Docker CE 的推荐方法。使用官方仓库可以确保您安装的是最新、最稳定、功能最完整的版本，并且可以方便地进行后续的更新。

1. 设置 Docker 仓库

安装 yum-utils（在 CentOS Stream 8/9 是 dnf-utils），它提供了 yum-config-manager（或 dnf-config-manager）工具。这个工具可以帮助您管理 yum/dnf 仓库。

“`bash

对于 CentOS 7

sudo yum install -y yum-utils device-mapper-persistent-data lvm2

对于 CentOS Stream 8/9

sudo dnf install -y dnf-utils device-mapper-persistent-data lvm2
“`

device-mapper-persistent-data 和 lvm2 是早期 Docker 版本使用 device mapper 存储驱动时需要的依赖，尽管现在主流使用 overlay2 驱动，安装它们仍然是一个好的实践。

使用 yum-config-manager 命令添加 Docker 官方的稳定版仓库：

“`bash

对于 CentOS 7

sudo yum-config-manager \
–add-repo \
https://download.docker.com/linux/centos/docker-ce.repo

对于 CentOS Stream 8/9

# sudo dnf config-manager \
# –add-repo \

https://download.docker.com/linux/centos/docker-ce.repo

“`

执行此命令后，会在 /etc/yum.repos.d/ 目录下创建一个名为 docker-ce.repo 的文件，其中包含了 Docker 官方仓库的配置信息。

2. 安装 Docker Engine, Containerd, 和 Docker CLI

现在，您可以安装最新版本的 Docker Engine, Containerd, 和 Docker CLI。

“`bash

对于 CentOS 7

sudo yum install docker-ce docker-ce-cli containerd.io -y

对于 CentOS Stream 8/9

sudo dnf install docker-ce docker-ce-cli containerd.io -y

“`

• docker-ce: 这是 Docker Engine 的社区版，是运行容器的核心组件。
• docker-ce-cli: 这是 Docker 命令行客户端，用于与 Docker Daemon 进行交互。
• containerd.io: 这是一个行业标准的容器运行时，Docker Engine 依赖于它来管理容器的生命周期。

如果您需要安装特定版本的 Docker，可以列出仓库中所有可用的版本，然后选择一个进行安装。

首先，列出可用版本：

“`bash

对于 CentOS 7

yum list docker-ce –showduplicates | sort -r

对于 CentOS Stream 8/9

dnf list docker-ce –showduplicates | sort -r

“`

输出会类似这样（版本号会不断更新）：

docker-ce.x86_64 3:20.10.17-3.el7 docker-ce-stable
docker-ce.x86_64 3:20.10.16-3.el7 docker-ce-stable
...

选择一个版本（例如 3:20.10.17-3.el7），然后使用完整版本字符串进行安装：

“`bash

对于 CentOS 7

sudo yum install docker-ce- docker-ce-cli- containerd.io -y

示例: sudo yum install docker-ce-3:20.10.17-3.el7 docker-ce-cli-20.10.17-3.el7 containerd.io -y

对于 CentOS Stream 8/9

sudo dnf install docker-ce- docker-ce-cli- containerd.io -y

示例: sudo dnf install docker-ce-3:20.10.17-3.el8 docker-ce-cli-20.10.17-3.el8 containerd.io -y

“`

3. 启动 Docker 并设置开机自启

安装完成后，需要启动 Docker 服务并设置其在系统启动时自动运行。

“`bash

启动 Docker 服务

sudo systemctl start docker

设置 Docker 服务开机自启

sudo systemctl enable docker
“`

您可以使用以下命令检查 Docker 服务的状态：

bash
sudo systemctl status docker

如果服务正常启动，您应该会看到类似 active (running) 的状态信息。

4. 验证安装

验证 Docker 是否已正确安装并且可以正常运行的最简单方法是运行官方提供的 hello-world 镜像。这个镜像非常小，只会打印一条简单的消息来确认 Docker Daemon 工作正常。

bash
sudo docker run hello-world

首次运行此命令时，Docker 会从 Docker Hub 拉取 hello-world 镜像（如果本地不存在），然后在一个容器中运行它。如果一切正常，您会看到类似如下的输出：

Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
...
Hello from Docker!
This message shows that your installation appears to be working correctly.
...

看到 “Hello from Docker!” 这条消息，说明您在 CentOS 系统上成功安装并运行了 Docker Engine。

注意： 此时运行 docker 命令需要使用 sudo。在下一节，我们将解决这个问题，让非 root 用户也能方便地使用 Docker。

第三部分：后安装配置与优化

成功安装 Docker 仅仅是第一步。为了让 Docker 更易用、更安全、更高效地运行，还需要进行一些关键的后安装配置。

1. 管理 Docker 为非 Root 用户

默认情况下，Docker Daemon 绑定到一个 Unix Socket (/var/run/docker.sock)。只有 root 用户或 docker 组的成员才能访问这个 Socket。直接使用 sudo 运行 docker 命令很不方便，而且存在一定的安全风险。将需要使用 Docker 的用户添加到 docker 用户组是更常见的实践。

如果 docker 用户组不存在（通常安装 Docker 后会自动创建），您可以手动创建它：

bash
sudo groupadd docker

将当前用户（或者您希望使用 Docker 的用户）添加到 docker 用户组：

bash
sudo usermod -aG docker $USER

这里的 $USER 是一个环境变量，代表当前登录的用户名。您可以将其替换为任何其他用户名。

为了使组成员资格生效，您需要注销并重新登录，或者运行 newgrp docker 命令。运行 newgrp docker 会在新 shell 会话中应用组成员资格，而无需完全注销。

bash
newgrp docker

现在，您可以尝试运行 docker 命令，而无需 sudo：

bash
docker run hello-world

如果不再需要 sudo 并且成功运行 hello-world，说明权限配置成功。

安全提示： docker 组的成员拥有与 root 用户几乎等同的权限，因为他们可以通过 Docker 容器对系统进行操作（例如，挂载根文件系统）。因此，请谨慎将用户添加到 docker 组，并确保只将可信的用户添加到该组。

2. 配置 Docker 镜像加速器 (可选，但强烈推荐)

默认情况下，Docker 从 Docker Hub 拉取镜像。对于位于中国的用户，由于网络原因，从 Docker Hub 拉取镜像可能会非常缓慢甚至失败。配置一个国内的镜像加速器可以显著提高镜像拉取速度。

许多云服务提供商（如阿里云、腾讯云、华为云等）以及一些社区组织提供了 Docker 镜像加速服务。您可以在您的云服务控制台或网上搜索“Docker 镜像加速器”来找到可用的地址。常见的镜像地址包括：

• 阿里云加速器 (需要登录阿里云获取您的专属地址)
• DaoCloud 加速器: https://<your_code>.mirror.aliyuncs.com (示例，请替换为您的实际地址)
• USTC (中国科学技术大学): https://docker.mirrors.ustc.edu.cn
• 网易云: https://hub-mirror.c.163.com
• 科大讯飞: https://docker.xfyun.cn

配置 Docker 镜像加速器需要编辑或创建 Docker 的守护程序配置文件 /etc/docker/daemon.json。如果文件不存在，请创建它。

bash
sudo vi /etc/docker/daemon.json

添加或修改 registry-mirrors 键，值为一个字符串数组，每个字符串是镜像站点的 URL。

json
{
"registry-mirrors": [
"https://<your_code>.mirror.aliyuncs.com",
"https://docker.mirrors.ustc.edu.cn",
"https://hub-mirror.c.163.com"
]
}

重要：
* 将 <your_code>.mirror.aliyuncs.com 替换为您从阿里云等服务商获取的专属地址。
* 您可以添加多个镜像地址，Docker 会按顺序尝试连接。
* 请确保 JSON 格式正确，包括大括号、方括号、双引号和逗号。

保存并关闭文件。然后重新加载 Docker 配置或重启 Docker 服务以使更改生效。

“`bash

推荐使用 reload，如果 daemon.json 有语法错误，reload 会失败并保留旧配置

sudo systemctl reload docker

如果 reload 失败或需要确保完全应用新配置，可以重启

sudo systemctl restart docker

“`

您可以通过 docker info 命令来验证镜像加速器是否已配置成功。查找 Registry Mirrors 部分：

bash
docker info | grep "Registry Mirrors"

如果输出显示了您在 daemon.json 中配置的镜像地址，说明配置成功。

3. 配置 Docker 存储驱动

Docker 使用存储驱动来管理镜像和容器层。在 CentOS 上，Docker 过去默认使用 device mapper 驱动，但这在某些配置下可能效率不高，并且依赖于 LVM 或 loopback 设备。现在，推荐使用 overlay2 存储驱动，它通常提供更好的性能和更简单的管理，并且是 Docker 在新安装上的默认驱动（如果内核和文件系统支持）。

overlay2 驱动需要 Linux 内核版本 4.0 或更高，并且建议在支持文件系统层级配额的文件系统上使用，如 XFS（推荐）或 ext4。CentOS 7 的默认内核通常支持 overlay2，但旧版本可能需要更新内核。CentOS Stream 8/9 默认内核版本较高，完全支持 overlay2。

您可以使用 docker info 命令检查当前正在使用的存储驱动：

bash
docker info | grep "Storage Driver"

如果输出是 Storage Driver: overlay2，那么您已经使用了推荐的驱动，通常无需进一步配置。

如果驱动不是 overlay2（例如 devicemapper），并且您的系统满足要求（内核 >= 4.0，使用 XFS 或 ext4），您可以在 /etc/docker/daemon.json 中显式指定使用 overlay2 驱动。

json
{
"storage-driver": "overlay2",
"registry-mirrors": [
"https://<your_code>.mirror.aliyuncs.com",
"https://docker.mirrors.ustc.edu.cn"
]
}

重要：
* 修改存储驱动会影响现有的镜像和容器。更改驱动后，之前下载的镜像和创建的容器将不再可用！ 您需要重新拉取镜像并创建容器。
* 更改存储驱动后，必须重启 Docker 服务才能生效：sudo systemctl restart docker。

4. 配置防火墙 (Firewalld)

CentOS 默认使用 firewalld 作为防火墙管理工具。Docker 在运行时可能会修改系统的 iptables 规则来处理容器网络的转发和 NAT。这可能与 firewalld 发生冲突。

默认情况下，当 Docker 启动时，它会创建自己的 iptables 规则链，通常会绕过 firewalld。但是，如果您的 firewalld 配置非常严格，或者您想更精细地控制 Docker 的网络访问，则需要进行相应的配置。

最常见的情况是，您需要在 firewalld 中允许流量到达 Docker 容器暴露的端口。例如，如果一个容器暴露了 80 端口（映射到主机的 8080 端口），您需要在 firewalld 中打开主机的 8080 端口。

假设您的 Docker 容器会将流量从容器的某个端口映射到主机的 8080 端口，您可以使用以下命令在 firewalld 中打开该端口：

“`bash

永久开放 8080 端口 (TCP)

sudo firewall-cmd –zone=public –add-port=8080/tcp –permanent

重新加载 firewalld 配置使更改生效

sudo firewall-cmd –reload
“`

如果您希望允许所有流量通过 Docker 创建的网络接口（例如 docker0），您也可以将这些接口添加到 firewalld 的信任区域：

“`bash

查看 Docker 网络接口名称 (通常是 docker0)

ip a show docker0

将 docker0 接口添加到信任区域 (如果您有其他自定义网络，也需要添加到信任区域)

请注意，信任区域是允许所有流量通过的区域，这可能会降低安全性

sudo firewall-cmd –zone=trusted –add-interface=docker0 –permanent

重新加载 firewalld 配置

sudo firewall-cmd –reload

“`

通常情况下，对于标准 Docker 安装和简单的端口映射，开放主机上映射的端口就足够了。避免将 docker0 或其他 Docker 接口添加到信任区域，除非您清楚地知道这样做带来的安全风险。

重要： 如果您完全禁用或掩盖 (mask) 了 firewalld，Docker 的 iptables 规则将直接生效，不再受 firewalld 管理。但这通常不推荐用于生产环境，因为它移除了主机层面的一个重要安全屏障。

5. 配置日志驱动 (Log Driver)

Docker 默认使用 json-file 日志驱动，它将容器的 STDOUT/STDERR 输出写入到 JSON 文件中。随着容器的运行，这些日志文件可能会变得非常大，尤其是在高负载的环境下。您可以在 /etc/docker/daemon.json 中配置日志驱动和其选项，例如限制日志文件的大小和数量。

json
{
"registry-mirrors": [
"https://<your_code>.mirror.aliyuncs.com",
"https://docker.mirrors.ustc.edu.cn"
],
"storage-driver": "overlay2",
"log-driver": "json-file",
"log-opts": {
"max-size": "10m", # 每个日志文件最大 10MB
"max-file": "3" # 最多保留 3 个日志文件
}
}

上面的配置示例将每个容器的日志文件大小限制为 10MB，并且最多保留 3 个日志文件。旧的日志文件会被自动轮换和删除。

其他常用的日志驱动包括 syslog、journald、gelf、fluentd 等，可以将日志发送到中心化的日志管理系统。选择合适的日志驱动取决于您的监控和日志收集策略。

修改 /etc/docker/daemon.json 后，需要重启 Docker 服务：sudo systemctl restart docker。

6. 保持 Docker 更新

定期更新 Docker Engine 是非常重要的，可以获取新功能、性能改进以及安全修复。使用之前配置的官方仓库，更新 Docker 非常简单：

“`bash

对于 CentOS 7

sudo yum update docker-ce docker-ce-cli containerd.io -y

对于 CentOS Stream 8/9

sudo dnf update docker-ce docker-ce-cli containerd.io -y

“`

更新后，可能需要重启 Docker 服务才能完全应用新版本：sudo systemctl restart docker。

第四部分：基础 Docker 命令示例

现在 Docker 已经在您的 CentOS 系统上安装并配置完成，让我们看一些基本的 Docker 命令示例，以便您开始使用。

1. 拉取镜像 (Pull Image): 从 Docker 仓库（默认为 Docker Hub）下载镜像。

   bash
docker pull ubuntu:latest # 拉取最新版本的 Ubuntu 镜像
docker pull centos:7 # 拉取 CentOS 7 镜像

2. 查看本地镜像 (List Images): 列出所有已经下载到本地的镜像。

   bash
docker images

3. 运行容器 (Run Container): 使用镜像创建并运行一个容器。

   “`bash

   运行一个交互式的 Ubuntu 容器，并进入其 bash shell

   docker run -it ubuntu bash

   以后台模式运行一个 Nginx 容器，并将主机的 80 端口映射到容器的 80 端口

   docker run -d -p 80:80 –name my-nginx nginx
   “`

   • -it: 分配一个伪终端 (-t) 并保持 STDIN 打开 (-i)，通常用于交互式容器。
   • -d: 后台模式运行。
   • -p 80:80: 将主机的 80 端口映射到容器的 80 端口。
   • --name my-nginx: 给容器指定一个名称。
   • ubuntu bash, nginx: 要运行的镜像名称及其启动命令（如果不是镜像的默认命令）。

4. 查看正在运行的容器 (List Running Containers): 列出当前正在运行的容器。

   bash
docker ps

5. 查看所有容器 (List All Containers): 列出所有容器，包括已经停止的。

   bash
docker ps -a

6. 停止容器 (Stop Container): 停止一个正在运行的容器。使用容器 ID 或名称。

   bash
docker stop <container_id_or_name>

7. 启动容器 (Start Container): 启动一个已经停止的容器。

   bash
docker start <container_id_or_name>

8. 重启容器 (Restart Container): 重启一个容器。

   bash
docker restart <container_id_or_name>

9. 删除容器 (Remove Container): 删除一个停止的容器。

   “`bash
   docker rm

   强制删除正在运行的容器

   docker rm -f

   “`

10. 删除镜像 (Remove Image): 删除一个本地镜像。需要先删除基于该镜像的所有容器。

    “`bash
    docker rmi

    强制删除镜像 (会先删除依赖的容器)

    docker rmi -f

    “`

11. 查看容器日志 (View Container Logs): 查看容器的标准输出和标准错误。

    “`bash
    docker logs

    实时查看日志

    docker logs -f

    “`

12. 进入正在运行的容器 (Exec into Container): 在一个正在运行的容器内执行命令（例如，进入其 shell）。

    bash
docker exec -it <container_id_or_name> bash # 进入 bash shell
docker exec -it <container_id_or_name> sh # 进入 sh shell (如果没有 bash)

这些命令是使用 Docker 的基础。通过它们，您可以拉取、运行、管理和删除容器及镜像。

第五部分：常见问题与故障排除

在使用 Docker 的过程中，可能会遇到一些问题。以下是一些常见问题及其解决方法。

1. Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

原因： Docker 服务没有运行，或者当前用户没有访问 /var/run/docker.sock 的权限。

解决方法：

• 检查 Docker 服务状态：
  bash
sudo systemctl status docker
  如果服务未运行，尝试启动它：sudo systemctl start docker。查看日志获取更多信息：sudo journalctl -xeu docker。
• 检查用户组成员资格：
  确保您的用户在 docker 用户组中。使用 groups 命令查看：groups $USER。如果不在，将其添加到组并重新登录或运行 newgrp docker：sudo usermod -aG docker $USER。

2. Permission denied while trying to connect to the Docker daemon socket

原因： 与上面类似，当前用户没有访问 Docker Socket 的权限。

解决方法：
确认用户在 docker 组中 (groups $USER)，并且已经注销/重新登录或运行了 newgrp docker 命令。

3. 拉取镜像缓慢或失败

原因： 网络问题，特别是从 Docker Hub 拉取镜像时，国内网络可能受限。

解决方法：
配置 Docker 镜像加速器。按照本文第三部分第二小节的步骤编辑 /etc/docker/daemon.json 并重启 Docker 服务。

4. Error response from daemon: ... driver not enabled ... 或 Failed to start docker.service: Unit docker.service has a bad unit file setting.

原因： /etc/docker/daemon.json 文件中存在语法错误，或者配置了不受支持的存储驱动或其他选项。

解决方法：
* 检查 daemon.json 文件中的 JSON 语法错误。可以使用在线 JSON 验证工具检查。
* 确保配置的存储驱动 (storage-driver) 在您的系统和内核版本上受支持。
* 尝试重新加载 Docker 配置而不是重启：sudo systemctl reload docker。如果 reload 失败，journalctl -xeu docker 会显示详细的错误信息，帮助您定位 daemon.json 中的问题。如果 daemon.json 错误导致服务无法启动，修复文件后使用 sudo systemctl start docker 尝试启动。

5. 容器无法访问网络或无法从外部访问容器暴露的端口

原因： 防火墙 (firewalld 或 iptables) 阻止了流量，或者 Docker 网络配置有问题。

解决方法：
* 检查防火墙规则： 确保 firewalld 中允许流量到达容器映射到主机的端口。按照本文第三部分第四小节的步骤配置 firewalld。
* 检查 Docker 网络： 使用 docker network ls 查看网络列表，docker network inspect <network_name> 查看网络详情。通常 Docker 会自动创建 bridge 网络并处理 NAT。
* 检查 iptables 规则： Docker 会自动添加 DOCKER 链到 iptables 规则。使用 sudo iptables -L -n 查看规则，但修改 Docker 自动生成的 iptables 规则通常不推荐，除非您非常了解其工作原理。
* 临时禁用防火墙测试： （仅用于测试，生产环境禁用防火墙风险很高）sudo systemctl stop firewalld。如果禁用防火墙后问题解决，说明确实是防火墙引起的。

6. /var/lib/docker 目录空间不足

原因： Docker 镜像、容器、卷和构建缓存会占用磁盘空间。随着时间的推移，这些数据可能会累积导致磁盘空间耗尽。

解决方法：
* 清理无用的对象： Docker 提供了清理命令来删除停止的容器、未使用的镜像、网络和卷。
bash
docker system prune -a
这个命令会删除所有停止的容器、所有不被任何容器使用的网络、所有悬空 (dangling) 镜像（没有标签且不被任何容器使用的镜像），以及所有构建缓存。加上 -a 会删除 所有 未被任何容器使用的镜像（即使它们有标签）。请谨慎使用 -a 选项！
* 调整存储驱动： 如果您仍在使用 devicemapper 且配置不当，可能导致空间浪费。切换到 overlay2 通常更节省空间。
* 考虑将 Docker 数据目录移动到更大的分区： 可以通过在 /etc/docker/daemon.json 中设置 data-root 选项来实现，但这需要先停止 Docker 服务，移动现有数据，然后修改配置文件并重启服务。

```json
{
  "data-root": "/path/to/your/larger/partition/docker",
  ... other configurations ...
}
```
然后执行：
```bash
sudo systemctl stop docker
sudo mv /var/lib/docker /path/to/your/larger/partition/docker
sudo vi /etc/docker/daemon.json # 添加 data-root
sudo systemctl start docker
```

第六部分：高级主题概述 (简述)

安装和基本配置完成后，您可以进一步探索 Docker 的更多功能：

• Docker Compose: 用于定义和运行多容器 Docker 应用的工具。通过一个 YAML 文件来配置应用的服务、网络和卷，然后使用一个命令来创建和启动所有服务。
• Docker 网络: 了解不同的 Docker 网络驱动（bridge, host, overlay, macvlan, none）以及如何创建和管理自定义网络，以实现容器之间的通信和隔离。
• Docker 数据卷 (Volumes): 用于持久化容器生成的数据，或与容器共享数据。学习如何使用命名卷 (named volumes) 和绑定挂载 (bind mounts)。
• Dockerfile: 学习如何编写 Dockerfile 来自动化构建自定义镜像，定义应用的环境和启动命令。
• Docker Swarm / Kubernetes: 对于需要大规模部署和管理容器集群的场景，可以了解 Docker Swarm（Docker 官方的编排工具）或更流行的 Kubernetes。
• 容器安全: 深入了解如何构建更安全的镜像、限制容器的权限、使用安全扫描工具等。

这些高级主题超出了本文的范围，但它们是您在使用 Docker 构建复杂应用时需要掌握的关键概念。

结论

在 CentOS 系统上安装和配置 Docker 是构建现代化、可移植应用环境的基础。通过本文的详细指导，您应该已经成功地在您的 CentOS 服务器上部署了 Docker Engine，并进行了重要的后安装配置，包括非 root 用户访问、镜像加速、存储驱动优化和防火墙调整。

容器化技术极大地提高了开发和运维效率。掌握 Docker 的使用，结合 CentOS 的稳定性，您将能够更自信地构建、部署和管理您的应用。从简单的单容器应用到复杂的微服务架构，Docker 都提供了强大的支持。

现在，您可以开始探索 Docker Hub 上丰富的镜像资源，尝试运行各种应用，或者开始学习如何构建自己的 Docker 镜像。随着您对 Docker 的深入了解，您会发现它在简化工作流程、提高可重复性和降低“在我机器上能运行”问题方面的巨大价值。

请记住，技术是不断发展的。定期关注 Docker 和 CentOS 的官方文档和社区更新，保持您的系统和 Docker 版本是最新的，是确保安全和高效运行的关键。

希望这篇详尽的文章对您在 CentOS 上安装和配置 Docker 有所帮助。祝您在容器化的旅程中一切顺利！

---