云原生系列之Docker常用命令：从基础到进阶的完整指南

一、Docker环境准备与基础管理

1.1 环境验证与基础信息获取

Docker运行环境验证是操作前提，通过docker version可同时查看客户端与服务端版本信息，确认安装完整性。例如：

$ docker version
Client: Docker Engine - Community
 Version:           24.0.7
...
Server: Docker Engine - Community
 Engine:
  Version:          24.0.7

系统信息统计命令docker system info能显示存储驱动、节点数量、镜像数量等关键指标，帮助评估资源使用情况。内存与磁盘占用分析则依赖docker system df，其输出包含虚拟大小、实际占用等分层数据。

1.2 镜像管理核心命令

镜像作为容器运行的基础，其生命周期管理至关重要。搜索镜像时使用docker search [镜像名]，结合--filter参数可精准筛选，例如：

$ docker search nginx --filter=stars=1000
NAME      DESCRIPTION       STARS     OFFICIAL   AUTOMATED
nginx     Official build... 20000     [OK]

拉取镜像推荐指定版本标签，避免使用latest带来的不确定性：

$ docker pull nginx:1.25.3

镜像标签管理通过docker tag实现版本标记，构建自定义镜像时建议采用语义化版本规范。删除无用镜像需分两步：先删除容器引用，再执行docker rmi [镜像ID]，批量删除可使用docker image prune。

二、容器生命周期控制

2.1 容器创建与启动

docker run是容器创建的核心命令，关键参数组合示例：

$ docker run -d --name web \
  -p 8080:80 \
  -v /host/path:/container/path \
  nginx:1.25.3

参数解析：

• -d：后台运行模式
• -p：端口映射（主机:容器）
• -v：数据卷挂载
• --restart：设置重启策略（如unless-stopped）

2.2 容器状态管理

容器状态监控依赖docker ps -a，结合grep可快速定位特定容器。进入运行中容器推荐使用exec而非attach，避免中断主进程：

$ docker exec -it web /bin/bash

停止容器时优先采用docker stop（发送SIGTERM），超时后自动转为SIGKILL。强制删除运行中容器需使用docker rm -f，但可能造成数据丢失。

2.3 日志与进程管理

日志查看支持实时追踪与历史查询两种模式：

$ docker logs -f web       # 实时日志
$ docker logs --tail=100 web  # 查看最后100行

对于高并发服务，建议配置log-driver=json-file并设置max-size参数防止日志文件过大。进程管理通过docker top查看容器内进程树，结合docker kill可发送特定信号。

三、网络与存储配置

3.1 网络模型配置

Docker提供五种网络模式，生产环境推荐使用自定义桥接网络：

$ docker network create --driver=bridge my_net
$ docker run --network=my_net ...

自定义网络的优势在于自动DNS解析和隔离性。端口暴露需遵循最小权限原则，例如仅开放必要端口：

$ docker run -p 443:443 nginx  # HTTPS服务

3.2 存储卷管理

数据持久化方案选择：

• 临时数据：使用tmpfs挂载
• 配置文件：绑定挂载主机目录
• 数据库：使用命名卷

命名卷创建示例：

$ docker volume create db_data
$ docker run -v db_data:/var/lib/mysql mysql:8.0

存储驱动选择需考虑性能需求，overlay2是Linux下的推荐方案，Windows环境则需使用windowsfilter。

四、进阶操作与最佳实践

4.1 资源限制配置

CPU限制支持绝对值与权重两种方式：

$ docker run --cpus=1.5 ...      # 限制1.5个CPU核心
$ docker run --cpu-shares=1024 ... # 设置权重

内存限制需同时设置硬限制与软限制：

$ docker run -m 2g --memory-reservation=1g ...

4.2 安全加固建议

生产环境必须配置的安全参数：

• 禁用特权模式：--privileged=false
• 限制能力：--cap-drop=ALL --cap-add=NET_BIND_SERVICE
• 使用只读文件系统：--read-only
• 设置用户命名空间：--userns=host

4.3 编排预处理

单节点多容器管理推荐使用docker-compose，示例配置片段：

version: '3.8'
services:
  web:
    image: nginx:1.25.3
    ports:
      - "80:80"
    depends_on:
      - db
  db:
    image: mysql:8.0
    environment:
      MYSQL_ROOT_PASSWORD: example

五、故障排查工具集

5.1 诊断命令

• docker inspect：获取容器详细配置（JSON格式）
• docker stats：实时资源使用监控
• docker event：审计日志查看

5.2 常见问题处理

镜像拉取失败：检查registry认证与网络代理设置
端口冲突：使用docker port [容器名]确认占用情况
存储不足：执行docker system prune -a --volumes清理

六、云原生环境适配建议

在Kubernetes环境中，Docker命令使用场景发生转变：

1. 镜像构建仍使用docker build
2. 调试阶段可使用docker run模拟Pod
3. 生产环境应通过kubectl apply部署

建议开发人员掌握crictl（容器运行时接口工具）作为Docker的补充，特别是在使用containerd作为运行时的情况下。

本文系统梳理的Docker命令体系，既可作为日常操作的速查手册，也可作为云原生转型的技术参考。实际使用时需结合具体场景选择合适参数，并定期通过docker system prune维护系统清洁度。随着容器技术的演进，建议持续关注Docker官方文档的更新，特别是针对新架构（如ARM64）的优化建议。