一、Docker部署基础认知

Docker作为轻量级容器化技术，通过将应用及其依赖封装在独立容器中，实现跨环境的一致性运行。其核心价值体现在三个方面：

1. 环境标准化：消除”在我机器上能运行”的调试困境，确保开发、测试、生产环境完全一致
2. 资源高效利用：相比虚拟机，容器共享宿主内核，启动速度提升10倍以上，资源占用降低80%
3. 持续交付支持：与CI/CD流程无缝集成，实现分钟级的应用部署和版本更新

典型部署场景包括微服务架构、持续集成环境、混合云应用分发等。以某电商系统为例，通过Docker将订单、支付、库存等模块容器化后，系统部署时间从2小时缩短至8分钟，故障恢复时间从30分钟降至2分钟。

二、环境准备与安装

1. 系统要求检查

• Linux系统：推荐CentOS 7+/Ubuntu 18.04+，内核版本≥3.10
• 内存：生产环境建议≥4GB（开发环境2GB可运行）
• 存储：预留20GB以上磁盘空间用于镜像存储

2. 安装流程（以Ubuntu为例）

# 卸载旧版本（如有）
sudo apt-get remove docker docker-engine docker.io containerd runc
# 安装依赖包
sudo apt-get update
sudo apt-get install -y apt-transport-https ca-certificates curl gnupg-agent software-properties-common
# 添加Docker官方GPG密钥
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
# 添加稳定版仓库
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
# 安装Docker CE
sudo apt-get update
sudo apt-get install -y docker-ce docker-ce-cli containerd.io
# 验证安装
sudo docker run hello-world

3. 基础配置优化

• 镜像加速：配置国内镜像源（如阿里云、腾讯云）

  {
  "registry-mirrors": ["https://<your-mirror-id>.mirror.aliyuncs.com"]
  }

• 用户组管理：将当前用户加入docker组避免sudo

  sudo usermod -aG docker $USER
  newgrp docker  # 立即生效

三、镜像管理核心操作

1. 镜像获取与验证

# 拉取官方Nginx镜像
docker pull nginx:latest
# 查看本地镜像
docker images
# 镜像标签管理
docker tag nginx:latest mynginx:v1
# 镜像签名验证（示例）
docker inspect --format='{{index .RepoDigests 0}}' nginx

2. 自定义镜像构建

以Python Flask应用为例的Dockerfile：

# 基础镜像选择
FROM python:3.9-slim
# 设置工作目录
WORKDIR /app
# 复制依赖文件并安装
COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt
# 复制应用代码
COPY . .
# 暴露端口
EXPOSE 5000
# 启动命令
CMD ["gunicorn", "--bind", "0.0.0.0:5000", "app:app"]

构建命令：

docker build -t myflaskapp:v1 .

3. 镜像优化技巧

• 多阶段构建：减少最终镜像体积
  ```dockerfile

  构建阶段

  FROM golang:1.16 AS builder
  WORKDIR /app
  COPY . .
  RUN go build -o myapp

运行阶段

FROM alpine:latest
COPY —from=builder /app/myapp .
CMD [“./myapp”]

- **层合并策略**：将频繁变更的指令（如COPY代码）放在Dockerfile末尾
- **镜像扫描**：使用Trivy等工具检测漏洞
```bash
trivy image myflaskapp:v1

四、容器运行与管理

1. 基础运行命令

# 前台运行（调试用）
docker run -it --rm -p 5000:5000 myflaskapp:v1
# 后台运行
docker run -d --name webapp -p 80:80 nginx
# 进入运行中容器
docker exec -it webapp /bin/bash

2. 资源限制配置

# 内存限制（1GB）
docker run -m 1g --memory-swap 1.5g ...
# CPU限制（0.5核）
docker run --cpus=0.5 ...
# 存储卷挂载
docker run -v /host/path:/container/path ...

3. 日志与监控

# 实时日志查看
docker logs -f webapp
# 日志轮转配置（在docker-compose中）
logging:
  driver: "json-file"
  options:
    max-size: "10m"
    max-file: "3"
# 资源监控
docker stats

五、Docker Compose进阶部署

1. 编排文件示例

version: '3.8'
services:
  web:
    image: myflaskapp:v1
    ports:
      - "5000:5000"
    environment:
      - FLASK_ENV=production
    depends_on:
      - redis
  redis:
    image: redis:6-alpine
    volumes:
      - redis_data:/data
    command: redis-server --requirepass "yourpass"
volumes:
  redis_data:

2. 常用操作

# 启动服务
docker-compose up -d
# 扩展服务实例
docker-compose scale web=3
# 更新服务（不中断）
docker-compose up -d --no-deps --build web

六、生产环境最佳实践

1. 安全加固：

   • 定期更新基础镜像
   • 使用非root用户运行容器
   • 启用Docker内容信任（DCT）

2. 高可用设计：

   • 结合Swarm或Kubernetes实现集群管理
   • 配置健康检查（healthcheck指令）
   • 实现滚动更新策略

3. 备份恢复方案：

   • 定期导出重要镜像

     docker save -o myapp.tar myflaskapp:v1

   • 配置卷数据的定期备份

七、常见问题解决方案

1. 端口冲突：

   • 使用docker ps确认占用情况
   • 修改宿主端口映射-p 8080:80

2. 权限错误：

   • 检查SELinux/AppArmor配置
   • 添加--privileged=true（谨慎使用）

3. 性能问题：

   • 使用docker stats监控资源
   • 调整系统参数（如vm.max_map_count）

八、进阶学习路径

1. 容器编排：深入学习Kubernetes核心概念
2. CI/CD集成：掌握Jenkins/GitLab CI的Docker流水线配置
3. 服务网格：了解Istio/Linkerd的服务治理能力
4. 安全专项：研究gVisor、Kata Containers等安全容器方案

通过系统掌握上述内容，开发者能够独立完成从单机到集群的Docker部署任务。建议从简单应用开始实践，逐步增加复杂度，最终实现企业级容器化平台的搭建与运维。