如何通过Docker的Paused状态与快照技术实现容器带状态迁移？

本文共计861个文字，预计阅读时间需要4分钟。

相关专题内容，请直接提问，避免图片解析、口语化表达，字数不超过100字。

paused 状态本身不实现迁移，但它是带状态冷迁移中保障一致性的关键环节。它让容器进程“定格”，为后续快照捕获稳定内存和命名空间提供前提。

为什么必须先 Pause 才能做一致性快照

容器运行时，进程持续修改内存、写日志、更新文件描述符——直接 snapshot 会抓到中间态，导致恢复后数据错乱或崩溃。Pause 通过 cgroups freezer 冻结所有用户态进程，达成：

• CPU 暂停执行，内存页内容不再被写入，保持静止
• 网络命名空间、挂载点、IPC 资源仍处于打开状态，但无收发行为
• 避免 checkpoint 过程中出现竞态，例如数据库正在提交事务、应用正写入临时文件

Pause + CRIU 实现带状态冷迁移的完整流程

Docker 原生不支持热迁移，但可借助 CRIU 工具完成带内存、文件描述符、网络连接等完整状态的冷迁移。Pause 是其中不可跳过的前置动作：

• 暂停容器：执行 docker pause <container>，确保进程完全冻结
• 创建检查点：调用 docker checkpoint create <container> <checkpoint-name>，CRIU 此时才能安全扫描并序列化进程树、内存页、socket 状态等
• 传输检查点目录：将生成的 /var/lib/docker/containers/<id>/checkpoints/<name> 整个目录复制到目标主机（注意保留权限与硬链接）
• 在目标机恢复：运行 docker start --checkpoint <name> <container>，Docker 调用 CRIU restore，从冻结点继续执行

实际使用中的关键注意事项

Pause 是系统层冻结，不是应用层协调。要真正保证业务数据一致，还需配合应用自身机制：

• 数据库类容器（如 PostgreSQL、MySQL）需在 pause 前执行 pg_dump 或 FLUSH TABLES WITH READ LOCK，否则仅 freeze 进程不能保证磁盘文件与内存状态同步
• CRIU 对内核版本、CPU 架构、cgroup v2 支持有严格要求；目标机需安装相同或兼容版本的 criu 工具，并启用 kernel.unprivileged_userns_clone=1 等必要参数
• 使用 bind mount 的容器，需确保目标机挂载路径存在且权限匹配；volume 类数据卷可单独 rsync 同步，不依赖 checkpoint

替代方案对比：Pause+Checkpoint vs commit+save

普通 docker commit 只保存文件系统快照，丢失内存、网络连接、进程 PID 等运行时状态；而 Pause+Checkpoint 保留全部运行上下文，恢复后进程 ID、端口绑定、TCP 连接状态均与暂停前一致。前者适合配置迁移，后者适合高可用切换、滚动升级或故障转移等对状态连续性敏感的场景。