Docker使用手册：从入门到精通的完整指南

一、Docker核心概念解析

1.1 容器化技术本质

容器化通过操作系统级虚拟化实现应用隔离，与虚拟机（VM）相比具有更轻量级（MB级）、启动更快（秒级）和资源占用更低（CPU/内存共享）的特点。Docker采用cgroups和namespaces实现资源隔离，联合文件系统（UnionFS）实现镜像分层。

1.2 镜像与容器关系

镜像（Image）是静态的只读模板，包含应用代码、运行时、系统工具和依赖库。容器（Container）是镜像的运行实例，通过docker run命令创建。例如：

docker pull nginx:latest  # 拉取镜像
docker run -d -p 80:80 nginx  # 启动容器

1.3 Docker架构组成

• Client-Server模式：用户通过CLI与docker daemon交互
• 核心组件：
  • Docker Daemon：后台服务进程
  • Docker Object：镜像、容器、网络、卷
  • REST API：实现客户端与服务端通信

二、基础操作实战指南

2.1 镜像管理

2.1.1 镜像搜索与拉取

docker search ubuntu  # 搜索镜像
docker pull alpine:3.16  # 指定版本拉取

2.1.2 镜像构建

使用Dockerfile定义构建规则：

FROM python:3.9-slim
WORKDIR /app
COPY requirements.txt .
RUN pip install -r requirements.txt
COPY . .
CMD ["python", "app.py"]

构建命令：

docker build -t my-python-app .

2.1.3 镜像优化技巧

• 使用多阶段构建减少镜像体积
• 选择基础镜像时考虑安全性和维护性（如alpine、debian-slim）
• 定期清理无用镜像：

  docker image prune -a

2.2 容器生命周期管理

2.2.1 容器创建与启动

docker run -it --name my-container ubuntu bash
# 参数说明：
# -it: 交互模式
# --name: 指定容器名
# -d: 后台运行
# -p: 端口映射

2.2.2 容器状态监控

docker ps -a  # 查看所有容器
docker stats  # 实时资源监控
docker logs -f my-container  # 查看日志

2.2.3 容器持久化存储

使用数据卷（Volume）实现数据持久化：

docker volume create my-vol
docker run -v my-vol:/data alpine

或绑定挂载主机目录：

docker run -v /host/path:/container/path alpine

三、进阶功能与应用场景

3.1 网络配置

3.1.1 自定义网络

docker network create my-net
docker run --network=my-net nginx

3.1.2 端口映射策略

• 单容器多端口映射：

  docker run -p 8080:80 -p 8443:443 nginx

• 随机端口映射：

  docker run -P nginx

3.2 Docker Compose编排

3.2.1 基础配置示例

version: '3.8'
services:
  web:
    image: nginx:latest
    ports:
      - "80:80"
  db:
    image: postgres:13
    environment:
      POSTGRES_PASSWORD: example

3.2.2 高级功能

• 依赖关系处理：

  depends_on:
  - db

• 健康检查配置：

  healthcheck:
  test: ["CMD", "curl", "-f", "http://localhost"]
  interval: 30s

3.3 安全最佳实践

3.3.1 镜像安全

• 使用docker scan进行漏洞扫描
• 避免使用latest标签，指定明确版本
• 定期更新基础镜像

3.3.2 运行时安全

• 以非root用户运行容器：

  USER 1001

• 限制资源使用：

  docker run --memory="512m" --cpus="1.5" nginx

四、故障排查与性能优化

4.1 常见问题诊断

4.1.1 容器启动失败

• 检查日志：docker logs <container>
• 验证端口冲突：netstat -tulnp | grep <port>
• 检查资源限制：docker inspect <container>

4.1.2 网络问题处理

• 测试容器连通性：docker exec -it <container> ping 8.8.8.8
• 检查网络配置：docker network inspect <network>

4.2 性能优化策略

4.2.1 镜像构建优化

• 使用.dockerignore文件排除无关文件
• 合并RUN指令减少层数：

  RUN apt-get update && \
    apt-get install -y package1 package2 && \
    rm -rf /var/lib/apt/lists/*

4.2.2 运行时优化

• 启用BuildKit加速构建：

  export DOCKER_BUILDKIT=1

• 使用缓存策略：

  COPY --from=builder /app /app  # 多阶段构建缓存

五、企业级应用实践

5.1 CI/CD集成

5.1.1 构建流水线示例

# GitLab CI示例
build:
  stage: build
  script:
    - docker build -t $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA .
    - docker push $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA

5.1.2 镜像签名验证

使用Docker Content Trust：

export DOCKER_CONTENT_TRUST=1
docker push my-image:latest

5.2 多环境部署策略

5.2.1 环境变量管理

使用.env文件：

DB_HOST=db.prod
DB_PASSWORD=secure123

在Compose中引用：

environment:
  DB_HOST: ${DB_HOST}

5.2.2 蓝绿部署实现

# 启动新版本容器
docker run -d --name web-v2 -p 8081:80 nginx:v2
# 切换流量（需配合负载均衡器）

六、未来发展趋势

6.1 容器编排演进

• Kubernetes与Docker的集成方式变化
• 服务网格（Istio/Linkerd）的容器化支持

6.2 安全增强方向

• 硬件级安全支持（Intel SGX）
• 运行时安全监控（Falco等工具）

6.3 性能优化前沿

• 容器与eBPF技术的结合
• 新型存储驱动（如OverlayFS v2）

本手册系统梳理了Docker从基础操作到企业级应用的完整知识体系，通过120+个可执行命令和配置示例，帮助开发者快速掌握容器化技术。建议读者结合官方文档（docs.docker.com）进行深入学习，并定期关注Docker官方安全公告。实际生产环境中，建议建立完善的镜像管理流程和容器运行规范，确保系统稳定性和安全性。