介绍
Docker是一个开源的应用容器引擎,基于Go语言开发,可以让开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上。容器化技术使应用的部署变得更加简单和一致,有效解决了”在我的机器上能运行”的问题。本文将详细介绍Docker的核心概念、基本使用方法及最佳实践,帮助读者快速掌握这一强大的容器化工具。
Docker 官方文档地址
为什么选择Docker?
在众多容器化技术中,Docker具有以下优势:
- 轻量级:相比传统虚拟机,Docker容器占用资源少,启动快速
- 一致性环境:从开发到测试到生产,保持环境一致性
- 隔离性:应用和依赖打包到一起,避免环境冲突
- 可移植性:一次构建,到处运行
- 版本控制:类似Git,可以跟踪容器镜像的版本变化
- 组件重用:可以使用已有的容器镜像作为基础,加快开发
- 共享:通过Docker Hub等平台共享和获取镜像
安装Docker
Linux安装
1
2
3
4
5
6
7
8
|
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce docker-ce-cli containerd.io
|
Windows安装
在Windows上,可以下载并安装Docker Desktop:
https://www.docker.com/products/docker-desktop
Mac安装
在Mac上,同样可以使用Docker Desktop:
https://www.docker.com/products/docker-desktop
安装完成后,验证安装:
1
2
| docker --version
docker run hello-world
|
核心概念
镜像(Image)
Docker镜像是一个只读模板,用于创建Docker容器。镜像可以看作是容器的”源代码”,是静态的文件。
1
2
3
4
5
6
7
8
|
docker images
docker pull ubuntu:20.04
docker rmi ubuntu:20.04
|
容器(Container)
容器是镜像的运行实例,可以被启动、停止、删除等。容器之间相互隔离,可以将其看作是一个微型Linux系统。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
docker run -it ubuntu:20.04 /bin/bash
docker ps
docker ps -a
docker stop <container_id>
docker start <container_id>
docker rm <container_id>
|
仓库(Repository)
Docker仓库用于存储和分发Docker镜像。Docker Hub是Docker官方维护的公共仓库。
1
2
3
4
5
6
7
8
|
docker login
docker push username/image_name:tag
docker pull username/image_name:tag
|
Dockerfile
Dockerfile是用来构建Docker镜像的文本文件,包含了一系列的指令和参数。
常用指令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
FROM ubuntu:20.04
LABEL maintainer="your-email@example.com"
RUN apt-get update && apt-get install -y nginx
WORKDIR /app
COPY . /app
ADD package.json /app/
ENV NODE_ENV=production
EXPOSE 80
VOLUME ["/data"]
CMD ["nginx", "-g", "daemon off;"]
HEALTHCHECK --interval=5m --timeout=3s \
CMD curl -f http://localhost/ || exit 1
|
构建镜像
1
2
|
docker build -t my-image:1.0 .
|
Docker Compose
Docker Compose是一个用于定义和运行多容器Docker应用的工具。使用Compose,你可以通过YAML文件配置应用的服务,然后使用一个命令创建和启动所有服务。
安装Docker Compose
1
2
3
4
5
6
|
sudo curl -L "https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose
docker-compose --version
|
Windows和Mac的Docker Desktop已内置Docker Compose。
docker-compose.yml示例
1
2
3
4
5
6
7
8
9
10
11
12
| version: '3'
services:
web:
build: .
ports:
- "5000:5000"
volumes:
- .:/code
depends_on:
- redis
redis:
image: redis:alpine
|
常用命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
docker-compose up
docker-compose up -d
docker-compose down
docker-compose ps
docker-compose logs
|
Docker网络
Docker提供了多种网络驱动,用于容器之间以及容器与外部世界的通信。
网络类型
- bridge:默认网络驱动,适用于单主机内的容器通信
- host:容器直接使用主机网络
- overlay:用于Swarm服务之间的通信
- macvlan:允许容器具有MAC地址,看起来像物理设备
- none:禁用容器的所有网络
网络命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
docker network ls
docker network create --driver bridge my_network
docker network inspect my_network
docker network rm my_network
docker network connect my_network container_name
docker network disconnect my_network container_name
|
Docker卷(Volume)
Docker卷用于持久化数据,即使容器被删除,卷中的数据也会保留。
卷命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
docker volume create my_volume
docker volume ls
docker volume inspect my_volume
docker volume rm my_volume
docker volume prune
|
使用卷
1
2
3
4
5
|
docker run -v my_volume:/app/data ubuntu:20.04
docker run -v /host/path:/container/path ubuntu:20.04
|
常见应用场景
Web应用部署
使用Docker部署Web应用:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
FROM node:14
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
EXPOSE 3000
CMD ["npm", "start"]
|
数据库部署
使用Docker Compose部署数据库:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| version: '3'
services:
db:
image: mysql:8.0
restart: always
environment:
MYSQL_ROOT_PASSWORD: example
MYSQL_DATABASE: mydb
volumes:
- db_data:/var/lib/mysql
ports:
- "3306:3306"
volumes:
db_data:
|
微服务架构
使用Docker Compose构建微服务应用:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| version: '3'
services:
frontend:
build: ./frontend
ports:
- "80:80"
depends_on:
- backend
backend:
build: ./backend
ports:
- "8080:8080"
depends_on:
- db
db:
image: postgres:13
environment:
POSTGRES_USER: user
POSTGRES_PASSWORD: password
POSTGRES_DB: app
volumes:
- db_data:/var/lib/postgresql/data
volumes:
db_data:
|
Docker Swarm
Docker Swarm是Docker的原生集群管理工具,可以将多个Docker主机组成一个集群,提供高可用性和负载均衡。
初始化Swarm
1
2
3
4
5
6
7
8
|
docker swarm init --advertise-addr <MANAGER-IP>
docker swarm join --token <TOKEN> <MANAGER-IP>:2377
docker node ls
|
部署服务
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
docker service create --replicas 3 --name my-web nginx
docker service ls
docker service inspect my-web
docker service ps my-web
docker service scale my-web=5
docker service rm my-web
|
使用Docker Stack
Docker Stack是用于在Swarm中部署和管理应用栈的工具,类似于Docker Compose。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
docker stack deploy -c docker-compose.yml my_stack
docker stack ls
docker stack services my_stack
docker stack ps my_stack
docker stack rm my_stack
|
安全最佳实践
镜像安全
- 使用官方镜像:尽量使用Docker Hub上的官方镜像
- 定期更新镜像:及时更新基础镜像,修复已知漏洞
- 扫描镜像漏洞:使用Docker Scan或第三方工具扫描镜像漏洞
- 使用多阶段构建:减小镜像体积,降低攻击面
容器安全
- 以非root用户运行容器:通过USER指令设置非特权用户
- 限制资源使用:使用–memory和–cpu-shares等参数限制资源使用
- 使用只读文件系统:通过–read-only参数设置只读文件系统
- 使用安全计算模式:通过–security-opt参数设置安全选项
- 使用网络隔离:合理配置网络,避免不必要的暴露
主机安全
- 更新Docker:及时更新Docker到最新版本
- 保护Docker守护进程:限制对Docker守护进程的访问
- 使用内容信任:启用Docker Content Trust验证镜像签名
- 监控容器活动:使用审计工具监控容器活动
常见问题及解决方案
容器日志过大
问题:容器日志过大,占用磁盘空间。
解决方案:设置日志轮转。
1
2
3
4
5
6
7
8
|
{
"log-driver": "json-file",
"log-opts": {
"max-size": "10m",
"max-file": "3"
}
}
|
容器无法访问网络
问题:容器无法访问外部网络。
解决方案:检查网络配置和DNS设置。
1
2
3
4
5
|
docker run --rm busybox nslookup google.com
docker run --dns 8.8.8.8 busybox nslookup google.com
|
容器启动失败
问题:容器启动失败,无法创建。
解决方案:查看容器日志,检查错误信息。
1
2
3
4
5
|
docker logs <container_id>
docker run -it --rm <image_name> /bin/bash
|
总结
Docker已成为现代软件开发和部署的标准工具,它通过容器化技术简化了应用的构建、分发和运行过程。本文介绍了Docker的核心概念、基本使用方法及最佳实践,希望能帮助读者快速掌握这一技术,并在实际项目中充分发挥Docker的优势。随着云原生技术的不断发展,Docker作为其中重要的基础设施,将继续在软件工程中发挥重要作用。
