Docker容器技术全面解析:从安装配置到镜像管理的完整指南
2025/8/31大约 13 分钟
第9章:Docker 容器技术
Docker作为容器技术的领军者,已经成为了现代软件开发和部署的事实标准。它通过轻量级的虚拟化技术,为应用程序提供了一致的运行环境,极大地简化了应用的开发、测试和部署流程。本章将全面解析Docker容器技术,从安装配置到镜像管理,帮助读者掌握这一重要技术。
Docker技术概述
Docker是一个开源的容器化平台,它允许开发者将应用程序及其依赖项打包到一个轻量级、可移植的容器中,然后在任何支持Docker的环境中运行。Docker的核心理念是"构建一次,到处运行"(Build Once, Run Anywhere)。
Docker核心概念
镜像(Image)
Docker镜像是一个轻量级、独立的可执行软件包,包含了运行应用程序所需的所有内容:代码、运行时、库、环境变量和配置文件。镜像是只读的,可以用来创建容器。
容器(Container)
容器是镜像的运行实例。容器与镜像的关系类似于面向对象编程中类与对象的关系。容器是可读写的,可以被启动、停止、移动和删除。
Dockerfile
Dockerfile是一个文本文件,包含了一系列指令,用于自动化构建Docker镜像。通过Dockerfile,可以定义应用程序的运行环境和配置。
仓库(Registry)
仓库是存储Docker镜像的地方。Docker Hub是官方的公共仓库,用户也可以搭建私有仓库。
Docker Daemon
Docker守护进程是Docker的核心组件,负责管理Docker对象(镜像、容器、网络、存储卷等)。
Docker Client
Docker客户端是用户与Docker交互的主要方式,通过命令行或API与Docker守护进程通信。
Docker架构
Docker采用客户端-服务器架构:
- Docker客户端:用户通过Docker客户端与Docker守护进程交互
- Docker守护进程:在主机上运行,负责管理Docker对象
- Docker镜像:只读模板,用于创建容器
- Docker容器:镜像的运行实例
- Docker仓库:存储Docker镜像的地方
Docker安装与配置
正确安装和配置Docker是使用Docker的第一步。不同的操作系统有不同的安装方法。
Windows系统安装
Docker Desktop for Windows
Docker Desktop是Windows系统上推荐的Docker安装方式:
系统要求:
- Windows 10 Pro、Enterprise或Education(64位)
- 启用Hyper-V和Containers Windows功能
- 启用硬件虚拟化
安装步骤:
# 1. 下载Docker Desktop安装包 # 访问 https://www.docker.com/products/docker-desktop 下载安装包 # 2. 运行安装程序 # 双击下载的安装包,按照向导完成安装 # 3. 启动Docker Desktop # 安装完成后,Docker Desktop会自动启动配置WSL 2:
# 1. 启用WSL 2功能 dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart # 2. 设置WSL 2为默认版本 wsl --set-default-version 2 # 3. 安装Linux发行版 # 从Microsoft Store安装Ubuntu或其他Linux发行版
验证安装
# 验证Docker版本
docker --version
# 验证Docker信息
docker info
# 运行测试容器
docker run hello-worldLinux系统安装
Ubuntu系统安装
# 1. 更新apt包索引
sudo apt-get update
# 2. 安装必要的包
sudo apt-get install \
ca-certificates \
curl \
gnupg \
lsb-release
# 3. 添加Docker官方GPG密钥
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
# 4. 设置仓库
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
# 5. 更新apt包索引
sudo apt-get update
# 6. 安装Docker Engine
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
# 7. 验证安装
sudo docker run hello-worldCentOS系统安装
# 1. 设置仓库
sudo yum install -y yum-utils
sudo yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo
# 2. 安装Docker Engine
sudo yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin
# 3. 启动Docker服务
sudo systemctl start docker
# 4. 设置开机自启
sudo systemctl enable docker
# 5. 验证安装
sudo docker run hello-worldmacOS系统安装
Docker Desktop for Mac
# 1. 下载Docker Desktop
# 访问 https://www.docker.com/products/docker-desktop 下载安装包
# 2. 安装Docker Desktop
# 双击下载的.dmg文件,将Docker拖拽到Applications文件夹
# 3. 启动Docker Desktop
# 从Applications文件夹启动Docker Desktop
# 4. 验证安装
docker --version
docker info
docker run hello-worldDocker配置优化
镜像加速配置
{
"registry-mirrors": [
"https://docker.mirrors.ustc.edu.cn",
"https://hub-mirror.c.163.com"
],
"insecure-registries": [],
"debug": false,
"experimental": false
}资源限制配置
{
"resources": {
"limits": {
"cpus": 2,
"memory": 4096
}
}
}Docker镜像管理
Docker镜像是容器的基础,有效的镜像管理对于Docker使用至关重要。
镜像基本操作
拉取镜像
# 拉取最新版本的nginx镜像
docker pull nginx
# 拉取指定版本的nginx镜像
docker pull nginx:1.21
# 拉取其他仓库的镜像
docker pull registry.cn-hangzhou.aliyuncs.com/nginx/nginx:latest查看镜像
# 查看所有本地镜像
docker images
# 查看特定镜像
docker images nginx
# 查看镜像详细信息
docker inspect nginx:latest删除镜像
# 删除指定镜像
docker rmi nginx:latest
# 强制删除镜像
docker rmi -f nginx:latest
# 删除未使用的镜像
docker image prune
# 删除所有未使用的镜像
docker image prune -aDockerfile编写
Dockerfile是构建Docker镜像的核心文件,它包含了一系列指令来定义镜像的构建过程。
基本语法
# 基础镜像
FROM ubuntu:20.04
# 维护者信息
LABEL maintainer="example@example.com"
# 设置环境变量
ENV NODE_VERSION=16.14.0
# 设置工作目录
WORKDIR /app
# 复制文件
COPY package*.json ./
COPY . .
# 安装依赖
RUN apt-get update && apt-get install -y \
nodejs \
npm \
&& npm install
# 暴露端口
EXPOSE 3000
# 启动命令
CMD ["node", "app.js"]常用指令详解
FROM:指定基础镜像
FROM node:16-alpineRUN:执行命令
RUN npm install -g expressCOPY:复制文件
COPY . /appADD:复制文件(支持URL和解压)
ADD https://example.com/file.tar.gz /app/WORKDIR:设置工作目录
WORKDIR /appENV:设置环境变量
ENV NODE_ENV=productionEXPOSE:暴露端口
EXPOSE 3000CMD:设置默认启动命令
CMD ["node", "server.js"]ENTRYPOINT:设置入口点
ENTRYPOINT ["node", "server.js"]
构建镜像
# 构建镜像
docker build -t myapp:1.0 .
# 指定Dockerfile路径
docker build -f /path/to/Dockerfile -t myapp:1.0 .
# 构建时传递参数
docker build --build-arg NODE_VERSION=16.14.0 -t myapp:1.0 .镜像优化技巧
多阶段构建
# 构建阶段
FROM node:16 AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production
COPY . .
RUN npm run build
# 运行阶段
FROM node:16-alpine
WORKDIR /app
COPY --from=builder /app/dist ./dist
COPY --from=builder /app/node_modules ./node_modules
EXPOSE 3000
CMD ["node", "dist/server.js"]减少镜像层数
# 不推荐:多个RUN指令
RUN apt-get update
RUN apt-get install -y nodejs
RUN apt-get install -y npm
# 推荐:合并RUN指令
RUN apt-get update && \
apt-get install -y nodejs npm使用.dockerignore文件
node_modules
npm-debug.log
.git
.gitignore
README.md
.env
coverage
.nyc_outputDocker容器管理
容器是Docker的核心概念,有效的容器管理对于应用的稳定运行至关重要。
容器基本操作
运行容器
# 运行交互式容器
docker run -it ubuntu:20.04 /bin/bash
# 运行后台容器
docker run -d nginx:latest
# 运行容器并映射端口
docker run -d -p 8080:80 nginx:latest
# 运行容器并挂载卷
docker run -d -v /host/data:/container/data nginx:latest
# 运行容器并设置环境变量
docker run -d -e NODE_ENV=production myapp:1.0查看容器
# 查看运行中的容器
docker ps
# 查看所有容器(包括停止的)
docker ps -a
# 查看容器详细信息
docker inspect container_name
# 查看容器日志
docker logs container_name
# 实时查看容器日志
docker logs -f container_name容器操作
# 启动容器
docker start container_name
# 停止容器
docker stop container_name
# 重启容器
docker restart container_name
# 删除容器
docker rm container_name
# 强制删除容器
docker rm -f container_name
# 删除所有停止的容器
docker container prune容器网络配置
网络模式
# 桥接模式(默认)
docker run -d --network bridge nginx:latest
# 主机模式
docker run -d --network host nginx:latest
# 无网络模式
docker run -d --network none nginx:latest
# 自定义网络
docker network create mynetwork
docker run -d --network mynetwork nginx:latest端口映射
# 映射单个端口
docker run -d -p 8080:80 nginx:latest
# 映射多个端口
docker run -d -p 8080:80 -p 8443:443 nginx:latest
# 映射到特定IP
docker run -d -p 127.0.0.1:8080:80 nginx:latest
# 随机端口映射
docker run -d -P nginx:latest容器存储管理
数据卷
# 创建数据卷
docker volume create myvolume
# 查看数据卷
docker volume ls
# 使用数据卷
docker run -d -v myvolume:/data nginx:latest
# 删除数据卷
docker volume rm myvolume
# 删除未使用的数据卷
docker volume prune绑定挂载
# 绑定挂载目录
docker run -d -v /host/path:/container/path nginx:latest
# 绑定挂载文件
docker run -d -v /host/file:/container/file nginx:latest
# 只读挂载
docker run -d -v /host/path:/container/path:ro nginx:latesttmpfs挂载
# tmpfs挂载(仅适用于Linux)
docker run -d --tmpfs /tmp nginx:latestDocker Compose应用编排
Docker Compose是用于定义和运行多容器Docker应用程序的工具。通过一个YAML文件,可以配置应用程序的服务,并使用单个命令创建和启动所有服务。
Docker Compose安装
Linux安装
# 下载Docker Compose
sudo curl -L "https://github.com/docker/compose/releases/download/v2.10.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
# 添加执行权限
sudo chmod +x /usr/local/bin/docker-compose
# 验证安装
docker-compose --versionWindows/macOS安装
Docker Desktop已经包含了Docker Compose,无需单独安装。
Docker Compose配置文件
基本配置
version: '3.8'
services:
web:
image: nginx:latest
ports:
- "8080:80"
volumes:
- ./html:/usr/share/nginx/html
depends_on:
- db
db:
image: mysql:8.0
environment:
MYSQL_ROOT_PASSWORD: password
MYSQL_DATABASE: myapp
volumes:
- db_data:/var/lib/mysql
volumes:
db_data:高级配置
version: '3.8'
services:
web:
build:
context: .
dockerfile: Dockerfile
ports:
- "3000:3000"
environment:
- NODE_ENV=production
- DATABASE_URL=mysql://user:password@db:3306/myapp
volumes:
- .:/app
- /app/node_modules
depends_on:
- db
networks:
- app-network
db:
image: mysql:8.0
environment:
MYSQL_ROOT_PASSWORD: rootpassword
MYSQL_DATABASE: myapp
MYSQL_USER: user
MYSQL_PASSWORD: password
volumes:
- db_data:/var/lib/mysql
- ./init:/docker-entrypoint-initdb.d
networks:
- app-network
healthcheck:
test: ["CMD", "mysqladmin", "ping", "-h", "localhost"]
timeout: 20s
retries: 10
redis:
image: redis:alpine
networks:
- app-network
networks:
app-network:
driver: bridge
volumes:
db_data:Docker Compose命令
基本操作
# 启动所有服务
docker-compose up
# 后台启动所有服务
docker-compose up -d
# 停止所有服务
docker-compose down
# 查看服务状态
docker-compose ps
# 查看服务日志
docker-compose logs
# 实时查看服务日志
docker-compose logs -f服务管理
# 启动特定服务
docker-compose up web
# 停止特定服务
docker-compose stop web
# 重启特定服务
docker-compose restart web
# 构建服务
docker-compose build
# 构建特定服务
docker-compose build webDocker安全最佳实践
安全性是容器化应用的重要考虑因素,Docker提供了多种安全机制来保护容器环境。
镜像安全
使用官方镜像
# 推荐:使用官方镜像
FROM node:16-alpine
# 不推荐:使用未知来源的镜像
FROM unknown/repository:latest扫描镜像漏洞
# 使用Docker Scout扫描镜像
docker scout cves myapp:1.0
# 使用第三方工具扫描
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock aquasec/trivy myapp:1.0固定镜像版本
# 推荐:固定版本
FROM node:16.14.0-alpine
# 不推荐:使用latest标签
FROM node:latest容器安全
以非root用户运行
# 创建非root用户
RUN addgroup -g 1001 -S nodejs
RUN adduser -S nextjs -u 1001
# 切换到非root用户
USER nextjs
# 设置工作目录
WORKDIR /app限制容器能力
# 移除不必要的能力
docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE nginx:latest
# 以只读模式运行容器
docker run --read-only nginx:latest启用用户命名空间
# 在Docker守护进程配置中启用用户命名空间
{
"userns-remap": "default"
}网络安全
使用用户定义网络
# 创建用户定义网络
docker network create --driver bridge mynetwork
# 在用户定义网络中运行容器
docker run --network mynetwork nginx:latest配置网络策略
# 限制容器网络访问
docker run --network mynetwork --dns 8.8.8.8 nginx:latestDocker性能优化
性能优化是确保容器化应用高效运行的关键。
资源限制
CPU限制
# 限制CPU使用率
docker run --cpus="1.5" nginx:latest
# 限制CPU份额
docker run --cpu-shares=512 nginx:latest
# 绑定CPU核心
docker run --cpuset-cpus="0-1" nginx:latest内存限制
# 限制内存使用
docker run --memory="512m" nginx:latest
# 设置内存交换
docker run --memory="512m" --memory-swap="1g" nginx:latest
# 设置内存预留
docker run --memory="512m" --memory-reservation="256m" nginx:latest存储优化
使用精简镜像
# 使用alpine基础镜像
FROM node:16-alpine
# 清理安装缓存
RUN apk add --no-cache python3分层缓存优化
# 将不经常变化的指令放在前面
COPY package*.json ./
RUN npm ci --only=production
# 将经常变化的指令放在后面
COPY . .
RUN npm run buildDocker监控与日志
有效的监控和日志管理对于容器化应用的运维至关重要。
日志管理
Docker日志驱动
# 使用json-file日志驱动
docker run --log-driver=json-file --log-opt max-size=10m nginx:latest
# 使用syslog日志驱动
docker run --log-driver=syslog --log-opt syslog-address=tcp://192.168.1.42:123 nginx:latest
# 使用fluentd日志驱动
docker run --log-driver=fluentd --log-opt fluentd-address=192.168.1.42:24224 nginx:latest日志查看
# 查看容器日志
docker logs container_name
# 实时查看日志
docker logs -f container_name
# 查看最近的日志
docker logs --tail 100 container_name
# 查看特定时间范围的日志
docker logs --since "2023-01-01" --until "2023-01-02" container_name性能监控
Docker stats命令
# 查看所有容器的资源使用情况
docker stats
# 查看特定容器的资源使用情况
docker stats container_name
# 查看容器资源使用情况(无流式输出)
docker stats --no-stream container_name使用第三方监控工具
# 使用cAdvisor监控容器
docker run \
--volume=/:/rootfs:ro \
--volume=/var/run:/var/run:ro \
--volume=/sys:/sys:ro \
--volume=/var/lib/docker/:/var/lib/docker:ro \
--publish=8080:8080 \
--detach=true \
--name=cadvisor \
gcr.io/cadvisor/cadvisor:latestDocker故障排除
有效的故障排除能力对于容器化应用的稳定运行至关重要。
常见问题及解决方案
容器无法启动
# 查看容器日志
docker logs container_name
# 以交互模式运行容器
docker run -it image_name /bin/bash
# 检查容器配置
docker inspect container_name端口无法访问
# 检查端口映射
docker port container_name
# 检查容器网络配置
docker inspect container_name | grep -i network
# 检查防火墙设置
# Linux: iptables -L
# Windows: 检查Windows防火墙设置存储空间不足
# 查看Docker磁盘使用情况
docker system df
# 清理未使用的资源
docker system prune
# 清理所有未使用的资源(包括镜像)
docker system prune -a
# 删除未使用的卷
docker volume prune调试技巧
进入运行中的容器
# 进入容器执行命令
docker exec -it container_name /bin/bash
# 在容器中执行单个命令
docker exec container_name ps aux查看容器进程
# 查看容器内的进程
docker top container_name检查容器网络
# 查看容器网络信息
docker network inspect bridge小结
Docker作为容器技术的领军者,为现代软件开发和部署提供了强大的支持。通过本章的学习,我们了解了Docker的核心概念、安装配置、镜像管理、容器管理、应用编排、安全最佳实践、性能优化以及故障排除等方面的内容。
Docker的核心价值在于其轻量级、可移植性和一致性,这些特性使得应用程序可以在不同的环境中保持一致的运行行为。通过Dockerfile,我们可以自动化构建镜像,确保环境的一致性;通过Docker Compose,我们可以轻松管理多容器应用;通过合理的安全配置和性能优化,我们可以确保容器化应用的安全性和高效性。
随着容器技术的不断发展,Docker也在持续演进,提供了更多的功能和更好的性能。掌握Docker技术对于现代软件开发和运维人员来说至关重要,它不仅能够提高开发效率,还能够简化部署流程,降低运维成本。
在实际应用中,我们需要根据具体需求选择合适的Docker功能和配置,遵循最佳实践,确保容器化应用的安全、稳定和高效运行。同时,我们也需要持续关注Docker技术的发展,及时学习和应用新的功能和特性,以充分发挥容器技术的价值。