ARM64嵌入式平台Docker容器化部署：内核Netfilter配置与存储优化实践-编程实验室

1. 项目概述与核心价值

在ARM64架构的嵌入式开发板上折腾容器化部署，听起来像是把大象塞进冰箱，但实际做下来，你会发现这恰恰是发挥这类硬件潜力的绝佳方式。我手头这块基于NXP QorIQ LS1046A的板子，资源说不上富裕，但跑几个轻量级服务绰绰有余。核心需求很明确：在资源受限的嵌入式环境中，构建一个稳定、高效且网络功能完整的Docker容器运行平台，并最终部署一个可对外提供服务的Web应用。

这不仅仅是“能跑起来就行”。嵌入式环境对稳定性、资源开销和启动速度有苛刻要求。直接使用发行版仓库里的Docker，其默认配置和内核模块往往是为x86服务器设计的，在ARM64嵌入式系统上可能会遇到内核模块不支持、存储空间不足、网络性能不佳等一系列问题。因此，我们需要从内核层面开始“精打细算”，手动配置网络包过滤框架（Netfilter），优化存储方案，最后才是拉取镜像、运行容器。

整个实践的核心价值在于全栈可控。从内核编译选项到容器网络策略，每一步你都知道为什么这么做，以及如何根据你的板卡特性进行调整。无论是为了产品原型验证，还是构建边缘计算节点，这套方法都能让你在ARM64平台上建立起一个坚实可靠的容器化基础。接下来，我会拆解从内核配置到服务上线的每一个环节，并分享我在这个过程中踩过的坑和总结的技巧。

2. 内核网络配置：Netfilter模块的精准裁剪

要让Docker的容器网络（特别是端口映射和跨主机通信）正常工作，Linux内核的Netfilter子系统是基石。在嵌入式系统上，我们不能简单地启用所有模块，那样会无谓地增大内核体积，甚至引入不稳定因素。我们需要像外科手术一样，精确地启用必要的功能。

2.1 Netfilter 核心框架与 nf_tables 选择

首先进入内核配置菜单。通常使用make menuconfig命令。我们需要定位到Networking support->Networking options->Network packet filtering framework (Netfilter)。

[*] Network packet filtering framework (Netfilter) --->

这里必须选中，它是所有功能的开关。

进入子菜单后，你会看到两个主要的后端选项：传统的iptables和较新的nf_tables。我强烈建议在新项目中选择 nf_tables。它是iptables的继任者，设计更现代，语法更统一，性能也更好，尤其是在规则数量多的时候。Docker 新版本也已很好地支持了 nf_tables。

Core Netfilter Configuration ---> <*> Netfilter connection tracking support <*> Netfilter nf_tables support <*> Netfilter nf_tables conntrack module <*> Netfilter nf_tables rbtree set module <*> Netfilter nf_tables masquerade support <*> Netfilter nf_tables nat module <*> Netfilter x_tables over nf_tables module <*> Netfilter Xtables support (required for ip_tables)

关键模块解析：

Netfilter connection tracking support(连接跟踪)：这是NAT和状态防火墙的灵魂。它跟踪所有经过系统的网络连接（如TCP三次握手、UDP流），使系统能理解数据包属于哪个会话。必须启用，否则端口映射（DNAT）和容器访问外网（SNAT/Masquerade）都无法工作。
Netfilter nf_tables support：nf_tables框架本身。
nf_tables conntrack module：让nf_tables能够使用连接跟踪的状态信息进行匹配，例如实现“仅允许已建立连接的回包”这样的状态规则。
nf_tables rbtree set module：提供高效的集合数据结构支持，用于快速匹配IP地址、端口列表等，提升规则集性能。
nf_tables masquerade support：提供“动态源地址转换”目标。这是容器访问外网最常用的方式，它会自动将容器内发出的数据包源IP替换为宿主机的出口IP。
nf_tables nat module：提供标准的SNAT（源地址转换）和DNAT（目的地址转换）目标，用于更精细的NAT控制。
Netfilter x_tables over nf_tables module与Netfilter Xtables support：为了兼容性而保留。一些旧的工具或脚本可能仍依赖iptables的legacy接口，Docker在特定配置下也可能使用。为了减少潜在麻烦，建议一并启用。

2.2 IPv4 相关配置与桥接支持

接下来配置IPv4特定的Netfilter功能。进入IP: Netfilter Configuration子菜单。

IP: Netfilter Configuration ---> <*> IPv4 connection tracking support (required for NAT) <*> IPv4 nf_tables support <*> IP tables support (required for filtering/masq/NAT) <*> Packet filtering <*> iptables NAT support <*> MASQUERADE target support <*> Packet mangling

IPv4 connection tracking support：IPv4协议族的连接跟踪模块，依赖于核心的连接跟踪。
IPv4 nf_tables support：为IPv4启用nf_tables。
IP tables support：提供传统的iptables命令行工具兼容层。虽然我们用nf_tables，但Docker daemon和一些系统脚本可能仍会调用iptables命令，所以需要编译此模块。
Packet filtering、iptables NAT support、MASQUERADE target support：这些是传统iptables的过滤和NAT模块，同样为了兼容性而启用。即使使用nf_tables后端，这些模块提供的“target”（如MASQUERADE）和“match”仍然会被用到。

关于Docker网络与网桥：Docker默认会创建一个名为docker0的Linux网桥，容器通过veth pair连接到这个桥。为了让Netfilter规则能对桥接流量生效（例如，过滤容器之间或容器到外部的流量），必须启用桥接相关的Netfilter模块。

<*> Ethernet Bridge nf_tables support ---> <*> Ethernet Bridge tables (ebtables) support ---> <*> ebt: nat table support <*> ebt: dnat target support <*> ebt: snat target support

Ethernet Bridge nf_tables support：允许在网桥设备上应用nf_tables规则。非常重要，它使得针对docker0网桥的过滤和NAT成为可能。
Ethernet Bridge tables (ebtables) support：ebtables用于处理以太网层（二层）的过滤。Docker本身可能不直接依赖它，但一些复杂的网络拓扑或安全策略会用到。为了功能完整，建议启用，并包括其NAT功能（ebt: nat/dnat/snat target support）。

注意：内核模块的依赖关系。配置时务必注意菜单下方的提示，很多选项有前置依赖。使用make menuconfig时，按Y编译进内核（<*>) ，按M编译为可加载模块（<M>）。在嵌入式环境中，如果内核体积敏感，可以将部分不常用的功能（如ebtables相关）编译为模块，在需要时手动加载。但对于Docker核心网络功能，建议直接编译进内核，避免因模块未加载导致Docker启动失败。

2.3 文件系统支持：OverlayFS与Tmpfs

容器运行离不开文件系统驱动。Docker默认的存储驱动是overlay2，它需要内核支持OverlayFS。

File systems ---> <*> Overlay filesystem support

必须将Overlay filesystem support编译进内核。OverlayFS通过“层”的概念实现了容器镜像的高效存储和共享，是Docker性能的关键。

由于嵌入式设备的存储（通常是eMMC或SD卡）空间有限且读写寿命需要注意，我们将利用内存文件系统来存放Docker的运行时数据（/var/lib/docker），这能极大提升容器操作速度并减少对存储器的磨损。

Pseudo filesystems ---> [*] Tmpfs virtual memory file system support (former shm fs) [*] Tmpfs POSIX Access Control Lists -*- Tmpfs extended attributes

Tmpfs virtual memory file system support：启用tmpfs支持。tmpfs将文件存储在内存（或交换分区）中，速度极快，但断电后数据丢失。这对于Docker的容器运行时、镜像层元数据等临时数据是完美的。
Tmpfs POSIX Access Control Lists和Tmpfs extended attributes：启用ACL和扩展属性支持。Docker和OverlayFS会使用这些特性来管理文件权限和元数据，务必启用。

3. 存储优化：将Docker数据目录挂载到Tmpfs

嵌入式板的根文件系统往往很小。以我的LS1046A板子为例，根分区可能只有几百MB，而一个基础的Ubuntu ARM64镜像就可能超过300MB。直接运行docker pull很快就会撑满存储空间。

3.1 为何选择Tmpfs而非外置存储

常见的解决方案有：1) 使用外接USB存储或硬盘；2) 使用网络存储（NFS）；3) 使用内存文件系统（tmpfs）。在嵌入式场景下，tmpfs是最优解，原因如下：

性能极致：内存读写速度远高于Flash或SD卡，能显著加速容器启动和镜像拉取。
保护存储：频繁的容器创建、删除操作会产生大量小文件IO，对Flash存储的磨损较大。tmpfs完全避免了这个问题。
简化部署：无需额外硬件或复杂的网络配置，开箱即用。
容量可接受：对于部署少量轻量级服务（如lighttpd, Redis）的场景，几百MB到1GB的内存空间足够使用。现代嵌入式SoC通常配备1GB或以上内存，分出一部分给Docker是合理的。

当然，缺点是数据非持久化。重启后，镜像和容器都会消失。但这对于很多边缘计算场景（无状态服务、从中心仓库随时拉取）或开发测试阶段来说，是可以接受的。如果需要持久化数据，可以通过Docker的-v参数将特定目录挂载到板载的持久化存储上。

3.2 实操步骤与脚本化

项目正文中给出的步骤是基础方法，但直接操作有风险。下面是我优化后的安全操作流程：

停止Docker服务：如果Docker守护进程已经在运行，首先停止它。
```
systemctl stop docker # 如果使用systemd # 或者 killall dockerd
```

备份原数据：/var/lib/docker目录下可能已有数据，先备份到其他位置。

mkdir -p /backup/docker_lib cp -a /var/lib/docker/* /backup/docker_lib/ 2>/dev/null || true # -a 参数保留权限和属性，2>/dev/null忽略可能不存在的文件报错。

卸载并重建目录：清空原目录，并将其重新挂载为tmpfs。
```
umount /var/lib/docker 2>/dev/null || true # 确保未被挂载 rm -rf /var/lib/docker mkdir -p /var/lib/docker mount -t tmpfs -o size=1G,mode=0755 tmpfs /var/lib/docker
```
- -o size=1G：限制tmpfs最大为1GB，防止Docker占用过多内存导致系统不稳定。请根据你的板子内存大小调整（例如，512M或2G）。
- -o mode=0755：设置目录权限。
恢复数据（可选）：如果是迁移现有数据，可以从备份恢复。对于全新安装，此步跳过。
```
cp -a /backup/docker_lib/* /var/lib/docker/ 2>/dev/null || true
```

验证挂载：使用df -h或mount | grep docker命令检查挂载是否成功。

$ df -h /var/lib/docker Filesystem Size Used Avail Use% Mounted on tmpfs 1.0G 0 1.0G 0% /var/lib/docker

自动化脚本：为了避免每次重启都手动操作，可以将挂载命令添加到/etc/fstab或系统的启动脚本中（如/etc/rc.local）。我更推荐在启动脚本中添加，因为/etc/fstab中的tmpfs挂载可能在Docker服务启动之后才执行，顺序上有问题。

在/etc/rc.local文件（需要执行权限）的exit 0之前添加：

# Mount docker lib to tmpfs if [ ! -d /var/lib/docker ]; then mkdir -p /var/lib/docker fi if ! mountpoint -q /var/lib/docker; then mount -t tmpfs -o size=1G,mode=0755 tmpfs /var/lib/docker fi

重要心得：size参数不要设置得过于接近总内存。要为系统进程和其他应用预留足够空间。可以通过free -m命令查看总内存。一个经验法则是，分配给tmpfs的Docker存储空间不超过总内存的30%-40%。同时，务必监控运行时的内存使用情况（free -m和docker system df），避免内存耗尽导致系统崩溃。

4. Docker守护进程启动与网络初始化

配置好内核和存储后，就可以启动Docker了。在嵌入式环境，我们可能不会安装完整的Docker CE包，而是使用静态二进制文件。

4.1 启动守护进程及参数解析

直接运行docker daemon命令会在前台启动守护进程，并输出日志。从项目正文的日志中，我们可以解读出关键信息：

:~# docker daemon ERRO[0000] Failed to built-in GetDriver graph btrfs /var/lib/docker ERRO[0000] Failed to built-in GetDriver graph devicemapper /var/lib/docker INFO[0000] API listen on /var/run/docker.sock INFO[0000] Default bridge (docker0) is assigned with an IP address 172.17.0.0/16. Daemon option --bip can be used to set a preferred IP address INFO[0000] Loading containers: start. INFO[0000] Loading containers: done. INFO[0000] Daemon has completed initialization INFO[0000] Docker daemon commit=7e5506d-dirty execdriver=native-0.2 graphdriver=overlay version=1.9.0

前两个ERROR：Docker在尝试检测存储驱动，先后检查了btrfs和devicemapper，因为我们的内核不支持或未配置，所以失败。这是正常信息，并非错误。最终它成功使用了graphdriver=overlay，这正是我们需要的。
关键信息：Default bridge (docker0) is assigned with an IP address 172.17.0.0/16。这表明Docker自动创建了docker0网桥，并为其分配了172.17.0.1/16的IP地址（通常是这个网段的第一个IP）。后续创建的容器会连接到这个网桥，并分配到172.17.0.0/16网段内的IP。
--bip参数：日志提示可以用--bip来指定网桥IP。如果你需要自定义容器网络段（例如避免与局域网冲突），可以这样启动：docker daemon --bip=192.168.5.1/24。

后台运行与系统集成：对于长期运行，我们需要让Docker守护进程在后台运行。更规范的做法是使用systemd或init.d脚本管理。如果系统支持systemd，可以创建一个服务单元文件/etc/systemd/system/docker.service：

[Unit] Description=Docker Application Container Engine After=network.target [Service] Type=notify ExecStart=/usr/bin/dockerd --storage-driver=overlay2 ExecReload=/bin/kill -s HUP $MAINPID LimitNOFILE=infinity LimitNPROC=infinity LimitCORE=infinity TimeoutStartSec=0 Delegate=yes KillMode=process Restart=on-failure StartLimitBurst=3 StartLimitInterval=60s [Install] WantedBy=multi-user.target

然后使用systemctl daemon-reload、systemctl enable docker、systemctl start docker来启用和启动服务。注意--storage-driver=overlay2参数显式指定了存储驱动。

4.2 容器网络原理与Netfilter的作用

当Docker守护进程启动并创建docker0网桥时，一系列Netfilter规则就被自动配置了。这是容器能与外界通信的关键。

容器出向流量（访问外网）：
- 容器内的进程发起一个到外网（如8.8.8.8:53）的连接，数据包从容器的eth0（veth端点）发出，到达docker0网桥。
- 网桥发现目的IP不在本地子网，会将数据包转发给宿主机的内核进行路由。
- 此时，Netfilter的nat表的POSTROUTING链会生效。Docker添加了一条规则，对所有从docker0网桥发出且目的非本桥的数据包，进行MASQUERADE（动态SNAT）。
- MASQUERADE动作将数据包的源IP从容器IP（如172.17.0.2）替换为宿主机当前对外路由的IP地址。这样，外网服务器看到的请求是来自宿主机，回包也会发给宿主机。
- 连接跟踪（conntrack）模块会记录这个NAT映射关系。
外部访问容器（端口映射）：
- 当外部客户端访问宿主机的30081端口时（如curl http://<board_ip>:30081），数据包到达宿主机的网络接口。
- 在Netfilter的nat表的PREROUTING链中，Docker添加了规则，将目标端口为30081且协议为TCP的数据包，进行DNAT。
- DNAT动作将数据包的目标IP从宿主机IP修改为容器的IP（如172.17.0.2），目标端口从30081修改为80。
- 然后数据包根据新的目标IP被路由到docker0网桥，进而送达容器。
- 回包过程则通过连接跟踪记录的NAT关系，自动进行反向的SNAT，最终回到客户端。

你可以使用iptables -t nat -L -n或nft list ruleset命令来查看Docker创建的这些规则。正是我们之前精心编译的内核模块，支撑起了这套复杂的网络地址转换和流量转发机制。

5. ARM64容器镜像的获取与Web服务部署

ARM64架构的容器镜像生态虽然不如x86丰富，但主流的基础镜像和许多流行软件都已提供支持。

5.1 寻找与拉取ARM64镜像

首先，可以使用docker search命令来查找镜像。但更推荐直接去 Docker Hub 的网站查看镜像的“Tags”页面，明确查看是否有arm64v8、aarch64或linux/arm64架构的标签。

项目正文中使用了qoriq/arm64-ubuntu这个镜像，这是一个由芯片厂商NXP维护的、针对其QorIQ平台优化的Ubuntu基础镜像，并预装了lighttpd。这是一个非常好的起点。

拉取镜像的命令很简单：

docker pull qoriq/arm64-ubuntu

镜像拉取加速：在国内网络环境下，拉取Docker Hub镜像可能很慢。可以配置国内镜像加速器。创建或修改/etc/docker/daemon.json文件，加入以下内容（以阿里云加速器为例，请替换为自己的加速器地址）：

{ “registry-mirrors”: [“https://your-mirror.mirror.aliyuncs.com”] }

然后重启Docker服务：systemctl restart docker。

拉取完成后，使用docker images确认镜像存在。

5.2 运行容器：命令参数深度解析

运行容器的命令是核心，每个参数都至关重要：

docker run -d -p 30081:80 --name=sandbox1 -h sandbox1 qoriq/arm64-ubuntu bash -c “lighttpd -f /etc/lighttpd/lighttpd.conf -D”

让我们拆解每一个部分：

docker run：创建并启动一个新容器。
-d：以后台守护进程模式运行容器。这样终端不会阻塞，你可以继续使用命令行。
-p 30081:80：端口映射，这是连接容器内外网络的关键。
- 格式是-p <host_port>:<container_port>。
- 将宿主机的30081端口映射到容器内部的80端口。
- 宿主机IP未指定，默认为0.0.0.0，意味着监听所有网络接口。
- 背后的Netfilter：正是这个参数，触发了Docker在宿主机的nat表PREROUTING链中添加那条DNAT规则。
--name=sandbox1：为容器指定一个名称，便于后续管理（如docker stop sandbox1），否则Docker会分配一个随机名称。
-h sandbox1：设置容器内部的主机名。这会影响容器内hostname命令的输出。
qoriq/arm64-ubuntu：指定用于创建容器的镜像。
bash -c “lighttpd -f /etc/lighttpd/lighttpd.conf -D”：容器启动后要执行的命令。
- bash -c “...”：启动一个bash shell，并执行引号内的命令。
- lighttpd -f /etc/lighttpd/lighttpd.conf -D：启动lighttpd Web服务器。
  - -f：指定配置文件路径。
  - -D：在前台运行。这是关键！如果不加-D，lighttpd会以守护进程模式启动，然后立即退出，导致容器内没有前台进程在运行，Docker会认为容器任务已完成，容器随即退出。使用-D让lighttpd保持在前台，容器就会持续运行。

执行命令后，会返回一个长长的容器ID。你可以用docker ps查看运行中的容器，确认端口映射状态为0.0.0.0:30081->80/tcp。

5.3 验证服务与访问测试

现在，你可以从同一网络下的另一台机器，或者直接在开发板上使用curl命令，来测试Web服务是否正常。

# 在开发板上测试 curl http://localhost:30081 # 或者从局域网内的PC，使用开发板的IP地址 # curl http://<your_board_ip>:30081

如果看到lighttpd的欢迎页面或者相关的HTML输出，恭喜你，服务部署成功了！

深入容器内部：你还可以使用docker exec命令进入容器内部进行检查和调试：

docker exec -it sandbox1 /bin/bash

进入后，你可以查看网络配置 (ip addr)、检查进程 (ps aux)、查看lighttpd日志（通常在/var/log/lighttpd/目录下）等。

6. 生产环境考量与进阶配置

将实验性的容器部署转化为稳定可靠的生产服务，还需要考虑更多因素。

6.1 资源限制与监控

嵌入式环境资源宝贵，必须对容器进行限制，防止单个容器耗尽系统资源。

内存限制：使用-m或--memory参数。
```
docker run -d -m 256m --memory-swap=256m -p 30081:80 --name=web qoriq/arm64-ubuntu ...
```
- -m 256m：限制容器最多使用256MB物理内存。
- --memory-swap=256m：将交换分区（swap）限制也设为256MB，意味着容器总共可以使用256MB内存+交换空间。如果只设置-m，默认的--memory-swap是-m值的两倍。在嵌入式设备上，可能没有或不想使用swap，可以设置为与-m相同。
CPU限制：使用--cpus参数限制CPU使用量。
```
docker run -d --cpus=1.5 ... # 限制最多使用1.5个CPU核心的计算时间
```
对于多核CPU，还可以使用--cpuset-cpus将容器绑定到特定的CPU核心上，减少上下文切换开销，提升性能确定性。
监控：使用docker stats命令可以实时查看所有运行容器的资源使用情况（CPU、内存、网络IO等）。这对于性能调优和问题排查非常有用。

6.2 网络模式选择与自定义

除了默认的bridge模式，Docker还支持其他网络模式，适用于不同场景：

host模式：容器直接使用宿主机的网络命名空间，没有独立的网络栈。容器性能最好（无NAT开销），但端口不能冲突。
```
docker run --network=host ...
```
在这种模式下，容器内的服务直接监听宿主机的端口，无需-p映射。Netfilter规则作用于宿主机的全局网络栈。
none模式：容器拥有独立的网络命名空间，但不做任何网络配置。需要用户手动配置网络，最为灵活也最复杂。
自定义网络：可以创建用户自定义的bridge网络，实现更精细的控制，例如固定的IP地址、内部DNS、网络策略等。
```
docker network create --driver bridge --subnet=172.20.0.0/16 mynet docker run --network=mynet --ip=172.20.0.100 ...
```

6.3 数据持久化与镜像管理

由于我们将/var/lib/docker挂载到了tmpfs，容器内产生的所有数据（包括镜像层、容器可写层）都会在重启后丢失。对于需要持久化的数据，必须使用数据卷（Volume）或绑定挂载（Bind Mount）。

数据卷：由Docker管理，存储在宿主机文件系统的特定区域（默认在/var/lib/docker/volumes/下）。即使容器删除，卷依然存在。
```
# 创建命名卷 docker volume create my_web_data # 运行容器时挂载 docker run -d -v my_web_data:/var/www/html ... # 将卷挂载到容器内的Web根目录
```
注意：我们的/var/lib/docker在tmpfs上，但数据卷的实际数据也存储在其下的volumes/目录中。这意味着数据卷同样是非持久化的！为了解决这个问题，我们需要将特定的数据卷目录挂载到持久化存储上。例如，可以在启动脚本中，将/var/lib/docker/volumes符号链接或绑定挂载到Flash存储的某个分区。
绑定挂载：直接将宿主机的目录挂载到容器内。这是嵌入式场景下最直接的持久化方案。
```
# 假设我们在Flash上有一个持久化分区挂载在 /mnt/data mkdir -p /mnt/data/website docker run -d -v /mnt/data/website:/var/www/html ... # 绑定挂载
```
这样，网站数据就安全地存储在了/mnt/data/website中，不受重启影响。

镜像管理策略：考虑到tmpfs的易失性，你需要一个可靠的镜像获取方案。

预加载镜像：在系统启动脚本中，加入docker pull命令，每次启动都从仓库拉取最新镜像。这依赖于稳定的网络。
本地镜像仓库：在局域网内搭建一个私有的Docker Registry，将需要的ARM64镜像推送到其中。开发板从本地仓库拉取，速度更快，且不依赖外网。

镜像导出/导入：将镜像保存为tar文件，存放在持久化存储中。

# 在能联网的机器上拉取并保存 docker pull qoriq/arm64-ubuntu docker save -o arm64-ubuntu.tar qoriq/arm64-ubuntu # 将tar文件拷贝到嵌入式板子，然后加载 docker load -i arm64-ubuntu.tar

7. 故障排查与性能调优实录

在实际操作中，你一定会遇到各种问题。这里记录了几个典型问题的排查思路和解决方法。

7.1 常见问题速查表

问题现象	可能原因	排查命令与解决方法
Docker daemon启动失败	1. 内核模块缺失（overlay, bridge, nf_tables等） 2.`/var/lib/docker`权限或空间问题 3. 端口冲突（2375等）	1.`dmesg \| tail`查看内核日志。 2.`lsmod \| grep -E “(overlay\|bridge\|nf_)”`检查模块。 3.`df -h /var/lib/docker`检查空间和权限。
`docker run`失败，报错“driver failed…”	存储驱动配置错误，或底层文件系统不支持。	1. 确认内核已启用`OVERLAY_FS`。 2. 检查Docker daemon启动参数`--storage-driver=overlay2`。 3. 确保`/var/lib/docker`所在文件系统支持d_type（ext4/xfs通常支持）。
容器启动后立即退出	容器内启动的进程不是前台进程。	1.`docker logs <container_id>`查看容器日志。 2. 确保启动命令是前台运行（如`lighttpd -D`,`nginx -g ‘daemon off;’`）。 3. 使用`docker run -it … /bin/bash`交互式启动，手动测试命令。
宿主机无法访问容器服务	1. 端口映射失败或错误。 2. 容器内服务未监听正确端口。 3. 宿主机防火墙（iptables/nftables）阻止。	1.`docker ps`确认`PORTS`列映射正确。 2.`docker exec <id> netstat -tlnp`查看容器内进程监听端口。 3.`iptables -t nat -L -n`或`nft list ruleset`检查DNAT规则是否存在。 4. 临时关闭宿主防火墙测试：`iptables -F`(谨慎操作)。
容器内无法访问外网	1. 宿主机IP转发未开启。 2. Netfilter MASQUERADE规则未生效。 3. DNS配置问题。	1.`cat /proc/sys/net/ipv4/ip_forward`应为`1`。如果不是，`echo 1 > /proc/sys/net/ipv4/ip_forward`。 2.`iptables -t nat -L POSTROUTING -n -v`查看MASQUERADE规则和数据包计数。 3.`docker exec <id> cat /etc/resolv.conf`检查容器DNS，可运行容器时加`--dns 8.8.8.8`。
`docker pull`速度极慢	网络连接Docker Hub不畅。	配置国内镜像加速器（修改`/etc/docker/daemon.json`）。
内存消耗快速增长	1. 容器内存泄漏。 2. tmpfs中Docker数据过多。	1.`docker stats`监控容器内存。 2.`docker system df`查看Docker磁盘使用。 3. 定期清理无用资源：`docker system prune -a -f`(谨慎，会删除所有停止的容器、未用的镜像、网络和构建缓存)。

7.2 性能调优实战心得

选择合适的基础镜像：qoriq/arm64-ubuntu是完整Ubuntu，体积较大（>300MB）。对于生产环境，考虑使用更精简的镜像，如arm64v8/alpine。Alpine Linux镜像只有几MB，能极大减少拉取时间和内存占用。但需要注意musl libc与glibc的兼容性问题。
优化lighttpd配置：默认配置可能不适合高并发。可以调整/etc/lighttpd/lighttpd.conf中的参数：
- server.max-worker：根据CPU核心数设置工作进程。
- server.max-connections：调整最大连接数。
- 启用压缩：compress.cache-dir和compress.filetype。修改后需要重启lighttpd容器。
监控Netfilter连接跟踪表：在大量短连接场景下，连接跟踪表可能被填满，导致新连接无法建立。
```
# 查看当前连接数 cat /proc/sys/net/netfilter/nf_conntrack_count # 查看最大连接跟踪数 cat /proc/sys/net/netfilter/nf_conntrack_max
```
如果count接近max，可以适当增大max值：
```
echo 65536 > /proc/sys/net/netfilter/nf_conntrack_max
```
为了永久生效，将net.netfilter.nf_conntrack_max=65536添加到/etc/sysctl.conf。
使用docker build构建定制镜像：与其在容器启动时通过bash命令配置，不如将应用和配置打包成自定义镜像。编写Dockerfile，在镜像层中完成软件安装、配置文件和启动脚本的定制。这样部署更一致、更快速。
```
FROM arm64v8/alpine:latest RUN apk add --no-cache lighttpd COPY my-lighttpd.conf /etc/lighttpd/lighttpd.conf COPY website/ /var/www/localhost/htdocs/ EXPOSE 80 CMD [“lighttpd”, “-D”, “-f”, “/etc/lighttpd/lighttpd.conf”]
```
然后运行docker build -t my-web .和docker run -d -p 30081:80 my-web。

通过这一整套从内核到应用、从原理到实操的流程走下来，你应该能在ARM64嵌入式平台上游刃有余地部署和管理Docker容器了。这套方法的核心思想是理解底层机制，然后针对资源受限环境进行精准配置和优化。记住，嵌入式世界的容器化，不是把云原生的东西生搬硬套，而是带着镣铐跳舞，在有限的资源内跳出最优雅的舞步。