Docker 从入门到实践

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

2005 字

6 分钟

Docker 从入门到实践

2020-04-20

工具

Docker

/

容器

/

云原生

/

工具

一、容器技术的前世今生#

1.1 从 LXC 到 Docker#

容器技术的概念可以追溯到 1979 年 Unix V7 的 chroot 系统调用，它实现了文件系统的隔离。2000 年 FreeBSD 推出了 Jail，将隔离扩展到了进程树、网络和用户权限。2006 年 Google 贡献了 Cgroups（Control Groups），实现了资源限制和审计。2008 年 Linux 内核引入了 Namespaces，提供了进程、网络、挂载点等维度的隔离能力。

LXC（LinuX Containers） 在 2008 年诞生，它是第一个真正意义上完整的 Linux 容器实现，整合了 Cgroups 和 Namespaces。然而 LXC 的操作复杂，缺乏标准化的工具链和镜像管理机制。

2013 年，dotCloud 公司（后更名为 Docker Inc.）开源了 Docker。Docker 在 LXC 的基础上进行了重大创新：

分层镜像：Union File System 实现镜像的分层存储，极大提升了存储效率和分发速度
标准化格式：统一的镜像格式和分发协议
开发工具链：简单易用的命令行工具
生态建设：Docker Hub 提供公共镜像仓库

Docker 的出现使得容器技术真正走向了大众开发者，开启了云原生时代的大门。

1.2 Docker 的核心价值#

Docker 解决的核心问题：

痛点	传统方案	Docker 方案
环境一致性	手动配置环境	镜像固化环境
资源利用率	每个应用独占 VM	多容器共享宿主机内核
部署效率	小时级部署	秒级启动
版本管理	依赖文档记录	镜像版本化追踪
微服务架构	复杂的网络配置	原生服务发现机制

二、Docker 核心概念#

2.1 三大核心组件#

Docker 架构由三个核心组件构成：

1. 镜像（Image）

镜像是一个只读的容器模板，包含了运行应用所需的所有内容：代码、运行时、库、环境变量和配置文件。镜像采用分层存储设计，每个镜像由多个只读层叠加而成。

block-beta columns 1 block:layer1:1 A["应用代码层 (App Code)"] end block:layer2:1 B["依赖层 (npm/pip/gem)"] end block:layer3:1 C["运行时层 (Node/Python)"] end block:layer4:1 D["基础层 (Alpine/Ubuntu)"] end

分层存储优势：

flowchart LR subgraph 镜像A A1[Alpine Base] A2[Node.js] A3[App A] end subgraph 镜像B B1[Alpine Base] B2[Node.js] B3[App B] end subgraph 共享层 C1[Alpine Base 共享] C2[Node.js 共享] end A1 -.-> C1 A2 -.-> C2 B1 -.-> C1 B2 -.-> C2 style C1 fill:#4CAF50,color:#fff style C2 fill:#4CAF50,color:#fff

特性	说明
存储优化	相同层只存储一份，节省磁盘空间
构建加速	本地已有的层无需重新下载
分发高效	推送/拉取时只传输差异层
构建缓存	Dockerfile 指令未变则复用缓存层

2. 容器（Container）

容器是镜像的运行实例。与镜像不同，容器在运行时会添加一个可写层（Container Layer），所有对容器的修改都发生在这一层。容器之间相互隔离，每个容器拥有自己的：

进程空间（PID Namespace）
网络接口（Network Namespace）
文件系统挂载点（Mount Namespace）
用户权限（User Namespace）
IPC 通信（IPC Namespace）

3. 仓库（Registry）

仓库用于存储和分发镜像。Docker Hub 是最大的公共仓库，企业也可以搭建私有仓库（如 Harbor）。

1
# 仓库地址格式
2
registry.example.com:port/namespace/repository:tag
3

4
# 示例
5
docker.io/library/nginx:latest          # Docker Hub 官方镜像
6
gcr.io/google-containers/pause:3.1      # Google Container Registry
7
harbor.company.com/prod/web:v2.0        # 私有仓库镜像

2.2 Docker 架构图#

graph TB subgraph Client A[docker build] B[docker pull] C[docker run] end subgraph "Docker Host" D[Docker Daemon] E[Images] F[Containers] G[Volumes] H[Networks] end subgraph Registry I[Docker Hub] J[Private Registry] end A --> D B --> D C --> D D --> E D --> F D --> G D --> H D <--> I D <--> J

三、Docker 安装与配置#

3.1 主流平台安装方式#

Ubuntu/Debian

1
# 卸载旧版本
2
sudo apt-get remove docker docker-engine docker.io containerd runc
3

4
# 安装依赖
5
sudo apt-get update
6
sudo apt-get install ca-certificates curl gnupg lsb-release
7

8
# 添加 Docker 官方 GPG 密钥
9
sudo mkdir -p /etc/apt/keyrings
10
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | \
11
  sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
12

13
# 添加软件源
14
echo "deb [arch=$(dpkg --print-architecture) \
15
  signed-by=/etc/apt/keyrings/docker.gpg] \
16
  https://download.docker.com/linux/ubuntu \
17
  $(lsb_release -cs) stable" | \
18
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
19

20
# 安装 Docker Engine
21
sudo apt-get update
22
sudo apt-get install docker-ce docker-ce-cli containerd.io \
23
  docker-buildx-plugin docker-compose-plugin

CentOS/RHEL

1
# 安装必要工具
2
sudo yum install -y yum-utils
3

4
# 添加 Docker 仓库
5
sudo yum-config-manager --add-repo \
6
  https://download.docker.com/linux/centos/docker-ce.repo
7

8
# 安装 Docker
9
sudo yum install -y docker-ce docker-ce-cli containerd.io \
10
  docker-buildx-plugin docker-compose-plugin
11

12
# 启动服务
13
sudo systemctl enable --now docker

macOS

推荐使用 OrbStack 替代 Docker Desktop，性能更优：

1
# 使用 Homebrew 安装
2
brew install orbstack
3

4
# 或下载安装包
5
# https://orbstack.dev/

Tip

OrbStack 相比 Docker Desktop 启动速度快 10 倍，内存占用更低，且完美兼容 Docker CLI。

3.2 Daemon 配置优化#

编辑 /etc/docker/daemon.json：

1
{
2
  "log-driver": "json-file",
3
  "log-opts": {
4
    "max-size": "100m",
5
    "max-file": "3"
6
  },
7
  "storage-driver": "overlay2",
8
  "registry-mirrors": [
9
    "https://mirror.ccs.tencentyun.com",
10
    "https://docker.mirrors.ustc.edu.cn"
11
  ],
12
  "live-restore": true,
13
  "default-ulimits": {
14
    "nofile": {
15
      "Name": "nofile",
16
      "Hard": 65535,
17
      "Soft": 65535
18
    }
19
  }
20
}

配置说明：

配置项	说明
`log-opts`	限制日志文件大小，避免磁盘被撑满
`storage-driver`	存储驱动，overlay2 性能最优
`registry-mirrors`	镜像加速，国内网络必备
`live-restore`	Daemon 重启时容器保持运行

1
# 重载配置
2
sudo systemctl daemon-reload
3
sudo systemctl restart docker

3.3 非 root 用户使用 Docker#

1
# 将当前用户加入 docker 组
2
sudo usermod -aG docker $USER
3

4
# 重新登录或执行
5
newgrp docker
6

7
# 验证
8
docker run hello-world

四、Docker 镜像管理#

4.1 镜像的获取与查看#

1
# 从 Docker Hub 拉取镜像
2
docker pull nginx:1.25-alpine
3

4
# 指定平台拉取
5
docker pull --platform linux/arm64 nginx:1.25-alpine
6

7
# 查看本地镜像
8
docker images
9

10
# 输出示例
11
# REPOSITORY   TAG            IMAGE ID       CREATED        SIZE
12
# nginx        1.25-alpine    78b8b9da20c4   2 weeks ago    41.2MB
13
# redis        7-alpine       3e5a4774bfbf   3 weeks ago    32.5MB
14

15
# 查看镜像详情
16
docker image inspect nginx:1.25-alpine
17

18
# 查看镜像分层历史
19
docker history nginx:1.25-alpine

4.2 镜像的导出与导入#

1
# 导出镜像为 tar 文件
2
docker save nginx:1.25-alpine -o nginx.tar
3

4
# 压缩导出
5
docker save nginx:1.25-alpine | gzip > nginx.tar.gz
6

7
# 导入镜像
8
docker load -i nginx.tar
9

10
# 从 tar 文件导入并命名
11
docker load -i nginx.tar && docker tag <IMAGE_ID> my-nginx:v1

4.3 镜像标签管理#

1
# 创建标签（类似软链接）
2
docker tag nginx:1.25-alpine my-registry/nginx:latest
3
docker tag nginx:1.25-alpine my-registry/nginx:v1.25
4

5
# 推送到私有仓库
6
docker push my-registry/nginx:v1.25
7

8
# 删除镜像
9
docker rmi nginx:1.25-alpine
10

11
# 强制删除（即使有容器在使用）
12
docker rmi -f nginx:1.25-alpine
13

14
# 清理悬空镜像（没有标签的镜像）
15
docker image prune
16

17
# 清理所有未使用的镜像
18
docker image prune -a

4.4 多架构镜像构建#

使用 docker buildx 构建跨平台镜像：

1
# 创建多架构构建器
2
docker buildx create --name multiarch --use
3

4
# 启用 qemu 模拟器（构建非宿主机架构）
5
docker run --privileged --rm tonistiigi/binfmt --install all
6

7
# 构建并推送多架构镜像
8
docker buildx build \
9
  --platform linux/amd64,linux/arm64 \
10
  -t my-registry/app:v1.0 \
11
  --push \
12
  .

五、Docker 容器操作#

5.1 容器的生命周期#

stateDiagram-v2 [*] --> Created: docker create Created --> Running: docker start Running --> Paused: docker pause Paused --> Running: docker unpause Running --> Stopped: docker stop Stopped --> Running: docker start Running --> [*]: docker rm Stopped --> [*]: docker rm

5.2 容器创建与运行#

1
# 创建并启动容器（最常用）
2
docker run [OPTIONS] IMAGE [COMMAND] [ARG...]
3

4
# 常用参数详解
5
docker run -d \                    # 后台运行
6
  --name web-server \              # 指定容器名称
7
  --restart unless-stopped \       # 重启策略
8
  -p 8080:80 \                     # 端口映射（宿主机:容器）
9
  -v /host/path:/container/path \  # 挂载卷
10
  -e MYSQL_ROOT_PASSWORD=secret \  # 环境变量
11
  --memory="512m" \                # 内存限制
12
  --cpus="1.5" \                   # CPU 限制
13
  --network mynet \                # 指定网络
14
  nginx:1.25-alpine
15

16
# 交互式运行
17
docker run -it --name my-ubuntu ubuntu:22.04 /bin/bash
18

19
# 一次性运行（执行后自动删除）
20
docker run --rm alpine:latest echo "Hello Docker"

5.3 重启策略#

策略	行为
`no`	不自动重启（默认）
`on-failure[:max-retries]`	退出码非 0 时重启，可设置最大重试次数
`always`	总是重启，除非手动停止
`unless-stopped`	除非手动停止，否则总是重启

1
# 生产环境推荐
2
docker run -d --restart unless-stopped nginx:latest

5.4 容器管理命令#

1
# 查看运行中的容器
2
docker ps
3

4
# 查看所有容器（包括已停止）
5
docker ps -a
6

7
# 查看容器资源占用
8
docker stats
9

10
# 格式化输出
11
docker ps --format "table {{.Names}}\t{{.Status}}\t{{.Ports}}"
12

13
# 启动/停止/重启容器
14
docker start web-server
15
docker stop web-server      # 发送 SIGTERM，优雅关闭
16
docker kill web-server      # 发送 SIGKILL，强制关闭
17
docker restart web-server
18

19
# 暂停/恢复容器
20
docker pause web-server
21
docker unpause web-server
22

23
# 查看容器日志
24
docker logs web-server
25
docker logs -f --tail 100 web-server  # 实时跟踪最近 100 行
26

27
# 进入容器执行命令
28
docker exec -it web-server /bin/sh
29

30
# 以 root 用户进入（适用于 alpine 等）
31
docker exec -it -u 0 web-server /bin/sh
32

33
# 复制文件
34
docker cp ./app.conf web-server:/etc/nginx/
35
docker cp web-server:/var/log/nginx ./logs/
36

37
# 查看容器进程
38
docker top web-server
39

40
# 查看容器详细信息
41
docker inspect web-server
42

43
# 导出容器为镜像
44
docker export web-server | docker import - my-nginx:exported
45

46
# 提交容器为镜像（不推荐用于生产）
47
docker commit web-server my-nginx:modified

5.5 容器资源限制#

1
# 内存限制
2
docker run -d --memory="512m" nginx          # 限制 512MB
3
docker run -d --memory="1g" --memory-swap="2g" nginx  # 内存+交换分区共 2GB
4

5
# CPU 限制
6
docker run -d --cpus="1.5" nginx             # 1.5 个 CPU 核心
7
docker run -d --cpuset-cpus="0,2" nginx      # 绑定到 CPU 0 和 2
8

9
# IO 限制
10
docker run -d \
11
  --device-read-bps=/dev/sda:10mb \          # 读速率限制
12
  --device-write-bps=/dev/sda:10mb \         # 写速率限制
13
  nginx
14

15
# 综合示例
16
docker run -d \
17
  --name app \
18
  --memory="1g" \
19
  --memory-reservation="512m" \
20
  --cpus="2" \
21
  --cpu-shares=1024 \
22
  --pids-limit=100 \
23
  my-app:latest

5.6 容器清理#

1
# 停止所有运行中的容器
2
docker stop $(docker ps -q)
3

4
# 删除所有已停止的容器
5
docker container prune
6

7
# 删除所有容器（危险操作）
8
docker rm -f $(docker ps -aq)
9

10
# 一键清理（容器、网络、悬空镜像、构建缓存）
11
docker system prune
12

13
# 深度清理（包括未使用的镜像）
14
docker system prune -a
15

16
# 查看磁盘占用
17
docker system df

六、Docker 数据卷管理#

6.1 三种数据持久化方式#

graph TB subgraph 容器 A[可写层] end subgraph 数据持久化 B[Volume] C[Bind Mount] D[tmpfs] end E[宿主机文件系统] --> C F[Docker 管理区域] --> B G[内存] --> D style B fill:#28a745,color:#fff style C fill:#ffc107 style D fill:#dc3545,color:#fff

6.2 Volume（推荐方式）#

Docker 管理的存储卷，存放在 /var/lib/docker/volumes/ 目录。

1
# 创建卷
2
docker volume create mydata
3

4
# 查看所有卷
5
docker volume ls
6

7
# 查看卷详情
8
docker volume inspect mydata
9

10
# 使用卷
11
docker run -d \
12
  -v mydata:/app/data \
13
  nginx:latest
14

15
# 匿名卷（不指定名称）
16
docker run -d -v /app/data nginx:latest
17

18
# 命名卷 + 只读
19
docker run -d \
20
  -v mydata:/app/data:ro \
21
  nginx:latest
22

23
# 删除卷
24
docker volume rm mydata
25

26
# 清理未使用的卷
27
docker volume prune

6.3 Bind Mount（绑定挂载）#

将宿主机目录直接映射到容器。

1
# 绑定挂载
2
docker run -d \
3
  -v /host/www:/usr/share/nginx/html \
4
  nginx:latest
5

6
# 使用 $PWD 简化路径
7
docker run -d \
8
  -v $(pwd)/html:/usr/share/nginx/html \
9
  nginx:latest
10

11
# 挂载单个文件
12
docker run -d \
13
  -v $(pwd)/nginx.conf:/etc/nginx/nginx.conf:ro \
14
  nginx:latest
15

16
# 使用 --mount 语法（更明确）
17
docker run -d \
18
  --mount type=bind,src=$(pwd)/html,dst=/usr/share/nginx/html,readonly \
19
  nginx:latest

6.4 tmpfs（临时文件系统）#

数据仅存储在内存中，容器停止后数据消失。

1
# 适用于敏感数据或临时缓存
2
docker run -d \
3
  --tmpfs /tmp:rw,size=100m,mode=1777 \
4
  nginx:latest
5

6
# 使用 --mount 语法
7
docker run -d \
8
  --mount type=tmpfs,dst=/tmp,tmpfs-size=104857600 \
9
  nginx:latest

6.5 数据卷容器#

用于容器间共享数据：

1
# 创建数据卷容器
2
docker create -v /shared-data --name data-container alpine
3

4
# 其他容器引用
5
docker run -d \
6
  --volumes-from data-container \
7
  --name app1 \
8
  nginx
9

10
docker run -d \
11
  --volumes-from data-container \
12
  --name app2 \
13
  nginx
14

15
# 备份数据卷
16
docker run --rm \
17
  --volumes-from data-container \
18
  -v $(pwd):/backup \
19
  alpine tar czf /backup/data-backup.tar.gz /shared-data
20

21
# 恢复数据卷
22
docker run --rm \
23
  --volumes-from data-container \
24
  -v $(pwd):/backup \
25
  alpine tar xzf /backup/data-backup.tar.gz -C /

6.6 Volume 对比表#

特性	Volume	Bind Mount	tmpfs
存储位置	Docker 管理目录	宿主机任意位置	内存
可移植性	优秀	差	不适用
性能	良好	优秀	极佳
备份迁移	简单	需自行管理	不支持
多容器共享	支持	支持	不支持
适用场景	生产环境持久化	开发环境挂载源码	敏感数据/缓存

七、Docker 网络配置#

7.1 默认网络类型#

Docker 安装后自动创建三种网络：

flowchart TB subgraph Docker Networks subgraph Bridge["bridge (默认)"] B1[容器 A 172.17.0.2] B2[容器 B 172.17.0.3] B3["通过 NAT 访问外网"] end subgraph Host["host 模式"] H1[容器 C 共享宿主机网络] H2["无网络隔离 性能最优"] end subgraph None["none 模式"] N1[容器 D 无网络接口] N2["完全隔离 安全场景"] end end B1 --> B3 B2 --> B3 H1 -.->|直接使用| HOST["宿主机网络栈"] style B3 fill:#4CAF50,color:#fff style H2 fill:#2196F3,color:#fff style N2 fill:#f44336,color:#fff

1
$ docker network ls
2
NETWORK ID     NAME      DRIVER    SCOPE
3
c7b8f5b9a3e0   bridge    bridge    local
4
d4e8a3b1c2f6   host      host      local
5
f1b2a3c4d5e7   none      null      local

1. bridge（默认）

每个容器分配独立 IP，通过 NAT 访问外部网络。

1
# 默认使用 bridge 网络
2
docker run -d --name web nginx
3

4
# 查看容器网络信息
5
docker inspect web --format '{{.NetworkSettings.IPAddress}}'

2. host

容器共享宿主机网络命名空间，无网络隔离。

1
# 使用 host 网络
2
docker run -d --network host nginx
3

4
# 注意：无需端口映射，直接使用宿主机端口

3. none

禁用容器网络。

1
# 完全禁用网络
2
docker run -d --network none alpine

7.2 自定义网络#

推荐使用自定义网络实现容器间通信：

flowchart TB subgraph 宿主机 subgraph Docker网络["自定义网络: mynet (172.20.0.0/16)"] GW["网关 172.20.0.1"] DB["PostgreSQL 172.20.0.2 容器名: db"] WEB["Nginx 172.20.0.3 容器名: web"] APP["App 172.20.0.4 容器名: app"] end WEB -->|"DNS: db:5432"| DB APP -->|"DNS: db:5432"| DB APP -->|"DNS: web:80"| WEB end CLIENT["外部请求"] -->|"端口映射 80:80"| WEB style GW fill:#9C27B0,color:#fff style DB fill:#4CAF50,color:#fff style WEB fill:#2196F3,color:#fff style APP fill:#FF9800,color:#fff

自定义网络优势：

特性	默认 bridge	自定义 bridge
容器间通信	需使用 IP 地址	可使用容器名（DNS）
网络隔离	所有容器同一网络	按项目/环境隔离
动态连接	不支持	运行时动态连接/断开
IP 地址管理	自动分配	可指定子网和网关

1
# 创建 bridge 网络
2
docker network create --driver bridge mynet
3

4
# 指定子网
5
docker network create \
6
  --driver bridge \
7
  --subnet=172.20.0.0/16 \
8
  --gateway=172.20.0.1 \
9
  mynet
10

11
# 容器连接到自定义网络
12
docker run -d --network mynet --name db postgres:15
13
docker run -d --network mynet --name web nginx
14

15
# 容器间通过名称通信
16
docker exec web ping db
17

18
# 运行时连接网络
19
docker network connect mynet existing-container
20

21
# 断开网络
22
docker network disconnect mynet web
23

24
# 删除网络
25
docker network rm mynet

7.3 端口映射#

1
# 随机端口映射
2
docker run -d -P nginx
3
# -P 自动映射 Dockerfile 中 EXPOSE 的端口
4

5
# 指定端口映射
6
docker run -d -p 8080:80 nginx
7
# 格式：宿主机端口:容器端口
8

9
# 指定 IP 和端口
10
docker run -d -p 127.0.0.1:8080:80 nginx
11

12
# UDP 端口
13
docker run -d -p 53:53/udp dns-server
14

15
# 多端口映射
16
docker run -d \
17
  -p 80:80 \
18
  -p 443:443 \
19
  nginx
20

21
# 查看端口映射
22
docker port web

7.4 网络模式对比#

模式	特点	适用场景
bridge	默认模式，NAT 访问外网	大多数场景
host	性能最优，无隔离	高性能网络应用
none	无网络	安全隔离场景
自定义 bridge	支持 DNS 解析、动态连接	微服务架构
overlay	跨主机通信	Docker Swarm

八、Dockerfile 最佳实践#

8.1 Dockerfile 基础语法#

1
# 基础镜像
2
FROM node:20-alpine
3

4
# 维护者信息
5
LABEL maintainer="team@example.com"
6

7
# 设置工作目录
8
WORKDIR /app
9

10
# 复制依赖文件（利用缓存层）
11
COPY package*.json ./
12

13
# 安装依赖
14
RUN npm ci --only=production
15

16
# 复制应用代码
17
COPY . .
18

19
# 暴露端口
20
EXPOSE 3000
21

22
# 健康检查
23
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
24
  CMD curl -f http://localhost:3000/health || exit 1
25

26
# 非 root 用户
27
USER node
28

29
# 启动命令
30
CMD ["node", "server.js"]

8.2 关键指令详解#

指令	说明	最佳实践
`FROM`	基础镜像	优先选择 Alpine 或 Distroless
`WORKDIR`	工作目录	使用绝对路径
`COPY`	复制文件	分层复制，利用缓存
`RUN`	执行命令	合并多条命令 `&&`
`ENV`	环境变量	设置固定值
`ARG`	构建参数	敏感信息传递
`EXPOSE`	声明端口	仅作文档用途
`CMD`	默认命令	使用 JSON 数组格式
`ENTRYPOINT`	入口点	配合 CMD 实现灵活配置
`HEALTHCHECK`	健康检查	生产环境必备

8.3 CMD 与 ENTRYPOINT 区别#

1
# CMD 方式：可被 docker run 参数覆盖
2
FROM alpine
3
CMD ["echo", "hello"]
4
# docker run myimage echo world  → 输出 world
5

6
# ENTRYPOINT 方式：docker run 参数作为追加参数
7
FROM alpine
8
ENTRYPOINT ["echo"]
9
CMD ["hello"]
10
# docker run myimage world  → 输出 hello world
11
# docker run myimage --help  → 输出 echo --help
12

13
# 组合使用：ENTRYPOINT 定义命令，CMD 定义默认参数
14
FROM alpine
15
ENTRYPOINT ["ping"]
16
CMD ["localhost"]
17
# docker run myimage google.com  → ping google.com

8.4 多阶段构建#

减小镜像体积的核心技术：

flowchart TB subgraph 构建阶段["Builder Stage"] A1["FROM golang:1.21-alpine"] --> A2["COPY go.mod go.sum"] A2 --> A3["RUN go mod download"] A3 --> A4["COPY . ."] A4 --> A5["RUN go build -o /server"] end subgraph 运行阶段["Runtime Stage"] B1["FROM alpine:3.19"] --> B2["RUN apk add ca-certificates"] B2 --> B3["COPY --from=builder /server"] B3 --> B4["ENTRYPOINT [\"/server\"]"] end A5 -.->|只复制二进制文件| B3 style A5 fill:#4CAF50,color:#fff style B4 fill:#2196F3,color:#fff

多阶段构建前后对比：

block-beta columns 2 block:单阶段构建:2 columns 1 S1["源代码 50MB"] S2["Go 工具链 300MB"] S3["依赖包 100MB"] S4["构建产物 15MB"] end block:多阶段构建:2 columns 1 M1["构建产物 15MB"] M2["Alpine 基础 5MB"] end A["总大小: ~800MB"] B["总大小: ~20MB"] S4 --> A M2 --> B style A fill:#f44336,color:#fff style B fill:#4CAF50,color:#fff

1
# 构建阶段
2
FROM golang:1.21-alpine AS builder
3

4
WORKDIR /app
5
COPY go.* ./
6
RUN go mod download
7

8
COPY . .
9
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-s -w" -o /server .
10

11
# 运行阶段
12
FROM alpine:3.19
13

14
RUN apk --no-cache add ca-certificates tzdata
15

16
WORKDIR /app
17
COPY --from=builder /server .
18

19
EXPOSE 8080
20
USER nobody
21

22
ENTRYPOINT ["/server"]

1
# 构建镜像
2
docker build -t my-server:v1.0 .
3

4
# 镜像大小对比
5
# 单阶段构建：~800MB
6
# 多阶段构建：~15MB

8.5 镜像优化技巧#

1
# 不推荐：每一层都增加体积
2
RUN apt-get update
3
RUN apt-get install -y curl
4
RUN apt-get install -y vim
5
RUN apt-get clean
6

7
# 推荐：合并命令，单层完成
8
RUN apt-get update && \
9
    apt-get install -y --no-install-recommends \
10
      curl \
11
      vim && \
12
    apt-get clean && \
13
    rm -rf /var/lib/apt/lists/*
14

15
# 不推荐：复制所有文件
16
COPY . /app
17

18
# 推荐：配合 .dockerignore
19
# .dockerignore 文件内容：
20
# node_modules
21
# .git
22
# *.log
23
# Dockerfile
24
COPY . /app
25

26
# 使用 Alpine 或 Distroless 基础镜像
27
FROM node:20-alpine        # ~50MB
28
FROM gcr.io/distroless/nodejs20  # ~20MB，无 shell

8.6 安全加固实践#

1
FROM node:20-alpine
2

3
# 创建非 root 用户
4
RUN addgroup -g 1000 -S appgroup && \
5
    adduser -u 1000 -S appuser -G appgroup
6

7
WORKDIR /app
8

9
# 设置文件权限
10
COPY --chown=appuser:appgroup . .
11

12
# 只读文件系统
13
# docker run --read-only --tmpfs /tmp ...
14

15
# 禁用特权
16
# docker run --cap-drop ALL --cap-add CHOWN ...
17

18
USER appuser
19

20
# 扫描漏洞
21
# docker scout cves myimage:v1

九、Docker Compose 服务编排#

9.1 docker-compose.yml 基础#

1
version: "3.8"
2

3
services:
4
  web:
5
    image: nginx:1.25-alpine
6
    container_name: web-server
7
    restart: unless-stopped
8
    ports:
9
      - "80:80"
10
      - "443:443"
11
    volumes:
12
      - ./html:/usr/share/nginx/html:ro
13
      - ./nginx.conf:/etc/nginx/nginx.conf:ro
14
    environment:
15
      - TZ=Asia/Shanghai
16
    networks:
17
      - frontend
18
    depends_on:
19
      - app
20

21
  app:
22
    build:
23
      context: ./app
24
      dockerfile: Dockerfile
25
      args:
26
        NODE_ENV: production
27
    restart: unless-stopped
28
    environment:
29
      - DATABASE_URL=postgres://user:pass@db:5432/mydb
30
      - REDIS_URL=redis://cache:6379
31
    networks:
32
      - frontend
33
      - backend
34
    depends_on:
35
      db:
36
        condition: service_healthy
37
      cache:
38
        condition: service_started
39

40
  db:
41
    image: postgres:15-alpine
42
    restart: unless-stopped
43
    environment:
44
      POSTGRES_USER: user
45
      POSTGRES_PASSWORD: pass
46
      POSTGRES_DB: mydb
47
    volumes:
48
      - postgres-data:/var/lib/postgresql/data
49
    networks:
50
      - backend
51
    healthcheck:
52
      test: ["CMD-SHELL", "pg_isready -U user -d mydb"]
53
      interval: 10s
54
      timeout: 5s
55
      retries: 5
56

57
  cache:
58
    image: redis:7-alpine
59
    restart: unless-stopped
60
    volumes:
61
      - redis-data:/data
62
    networks:
63
      - backend
64

65
networks:
66
  frontend:
67
  backend:
68

69
volumes:
70
  postgres-data:
71
  redis-data:

9.2 常用命令#

1
# 启动服务
2
docker compose up -d
3

4
# 查看服务状态
5
docker compose ps
6

7
# 查看日志
8
docker compose logs -f web
9

10
# 进入容器
11
docker compose exec app /bin/sh
12

13
# 重新构建并启动
14
docker compose up -d --build
15

16
# 停止并删除服务
17
docker compose down
18

19
# 删除服务和数据卷
20
docker compose down -v
21

22
# 扩容服务
23
docker compose up -d --scale app=3
24

25
# 查看配置
26
docker compose config
27

28
# 只启动特定服务
29
docker compose up -d db cache

9.3 环境变量管理#

1
services:
2
  app:
3
    image: my-app:latest
4
    env_file:
5
      - .env
6
      - .env.local
7
    environment:
8
      - NODE_ENV=production
9
      - DATABASE_URL=${DB_URL}

1
# .env 文件
2
DB_URL=postgres://user:pass@db:5432/mydb
3
REDIS_URL=redis://cache:6379

1
# 命令行覆盖
2
DB_URL=postgres://prod:pass@prod-db:5432/mydb docker compose up -d

9.4 多环境配置#

1
# 项目结构
2
├── docker-compose.yml          # 基础配置
3
├── docker-compose.override.yml # 开发环境（自动加载）
4
├── docker-compose.prod.yml     # 生产环境
5
└── docker-compose.staging.yml  # 预发布环境

1
# 开发环境（自动合并 docker-compose.yml 和 override）
2
docker compose up -d
3

4
# 生产环境
5
docker compose -f docker-compose.yml -f docker-compose.prod.yml up -d
6

7
# 使用 --profile 启动可选服务
8
docker compose --profile debug up -d

1
services:
2
  app:
3
    image: registry.example.com/app:${VERSION:-latest}
4
    deploy:
5
      replicas: 3
6
      resources:
7
        limits:
8
          cpus: "1"
9
          memory: 512M
10
        reservations:
11
          memory: 256M
12
    healthcheck:
13
      test: ["CMD", "curl", "-f", "http://localhost:3000/health"]
14
      interval: 30s
15
      timeout: 10s
16
      retries: 3

十、实战案例#

10.1 案例 1：Web 应用完整部署#

项目结构

1
my-webapp/
2
├── app/
3
│   ├── src/
4
│   ├── package.json
5
│   └── Dockerfile
6
├── nginx/
7
│   ├── nginx.conf
8
│   └── Dockerfile
9
├── docker-compose.yml
10
└── .env

app/Dockerfile

1
FROM node:20-alpine AS builder
2
WORKDIR /app
3
COPY package*.json ./
4
RUN npm ci
5
COPY . .
6
RUN npm run build
7

8
FROM nginx:1.25-alpine
9
COPY --from=builder /app/dist /usr/share/nginx/html
10
COPY nginx/nginx.conf /etc/nginx/nginx.conf
11
EXPOSE 80
12
CMD ["nginx", "-g", "daemon off;"]

docker-compose.yml

1
version: "3.8"
2

3
services:
4
  web:
5
    build:
6
      context: .
7
      dockerfile: app/Dockerfile
8
    ports:
9
      - "80:80"
10
    restart: unless-stopped

10.2 案例 2：CI/CD 流水线集成#

GitLab CI 示例

1
stages:
2
  - build
3
  - test
4
  - deploy
5

6
variables:
7
  IMAGE_TAG: $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
8

9
build:
10
  stage: build
11
  image: docker:24
12
  services:
13
    - docker:24-dind
14
  script:
15
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
16
    - docker build -t $IMAGE_TAG .
17
    - docker push $IMAGE_TAG
18

19
test:
20
  stage: test
21
  image: $IMAGE_TAG
22
  script:
23
    - npm test
24

25
deploy:
26
  stage: deploy
27
  image: docker:24
28
  script:
29
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
30
    - docker pull $IMAGE_TAG
31
    - docker tag $IMAGE_TAG $CI_REGISTRY_IMAGE:latest
32
    - docker push $CI_REGISTRY_IMAGE:latest
33
  only:
34
    - main

10.3 案例 3：本地开发环境#

1
version: "3.8"
2

3
services:
4
  app:
5
    build:
6
      context: .
7
      target: development # 使用 Dockerfile 中的开发阶段
8
    volumes:
9
      - .:/app
10
      - /app/node_modules
11
    ports:
12
      - "3000:3000"
13
    environment:
14
      - NODE_ENV=development
15
      - CHOKIDAR_USEPOLLING=true
16
    command: npm run dev
17

18
  db:
19
    image: postgres:15-alpine
20
    ports:
21
      - "5432:5432"
22
    environment:
23
      POSTGRES_USER: dev
24
      POSTGRES_PASSWORD: dev
25
      POSTGRES_DB: myapp
26
    volumes:
27
      - dev-db:/var/lib/postgresql/data
28

29
  redis:
30
    image: redis:7-alpine
31
    ports:
32
      - "6379:6379"
33

34
  mailhog:
35
    image: mailhog/mailhog
36
    ports:
37
      - "1025:1025" # SMTP
38
      - "8025:8025" # Web UI
39

40
volumes:
41
  dev-db:

十一、常见问题排查#

11.1 容器无法启动#

1
# 查看容器退出原因
2
docker logs <container_id>
3
docker inspect <container_id> --format '{{.State.ExitCode}}'
4
docker inspect <container_id> --format '{{.State.Error}}'
5

6
# 常见错误码
7
# 0   - 正常退出
8
# 1   - 应用错误
9
# 137 - 被 SIGKILL 杀死（OOM）
10
# 139 - 段错误
11
# 143 - 被 SIGTERM 终止

11.2 网络连接问题#

1
# 进入容器网络命名空间
2
docker exec -it <container_id> sh
3

4
# 测试 DNS 解析
5
nslookup google.com
6

7
# 测试网络连通性
8
ping -c 3 8.8.8.8
9
curl -v https://google.com
10

11
# 查看 NAT 规则
12
iptables -t nat -L -n
13

14
# 重建 Docker 网络
15
docker network prune

11.3 磁盘空间不足#

1
# 查看磁盘占用
2
docker system df -v
3

4
# 清理策略
5
docker system prune -a --volumes  # 清理所有未使用资源
6

7
# 迁移 Docker 数据目录
8
# 1. 停止 Docker
9
sudo systemctl stop docker
10

11
# 2. 修改 /etc/docker/daemon.json
12
{
13
  "data-root": "/mnt/docker-data"
14
}
15

16
# 3. 迁移数据
17
sudo rsync -aP /var/lib/docker/ /mnt/docker-data/
18

19
# 4. 启动 Docker
20
sudo systemctl start docker

11.4 权限问题#

1
# 容器内访问宿主机文件权限错误
2
# 方案 1：使用用户命名空间映射
3
docker run --user $(id -u):$(id -g) ...
4

5
# 方案 2：设置正确的文件权限
6
sudo chown -R 1000:1000 ./data
7

8
# 方案 3：在 Dockerfile 中创建匹配用户
9
ARG USER_ID=1000
10
RUN useradd -u $USER_ID -m appuser
11
USER appuser