1. Docker解决的核心问题
Docker旨在解决经典的"环境不一致"问题:"我的机器上能跑,为什么你的机器上不行?" 它通过容器技术将应用及其依赖(库、系统工具、运行时、配置)打包到标准化单元中,实现环境一致性和高可移植性。
2. 容器 vs 虚拟机
| 特性 |
虚拟机 (VM) |
Docker 容器 |
| 抽象级别 |
硬件级别虚拟化 |
操作系统级别虚拟化 |
| 虚拟化对象 |
完整虚拟硬件 |
仅操作系统(进程) |
| 运行载体 |
Hypervisor (VMware/VirtualBox) |
Docker Engine (守护进程) |
| Guest OS |
每个VM有完整操作系统 |
容器共享宿主机内核 |
| 性能 |
重量级,启动慢,占用高 |
轻量级,秒级启动,占用低 |
| 隔离性 |
完全隔离 |
进程级隔离,通常足够安全 |
形象比喻:
- 虚拟机 → 独栋别墅(完整设施和独立地基)
- 容器 → 公寓套房(共享地基、独立房间)
3. Docker核心技术
3.1 Namespaces(命名空间)—隔离机制
隔离容器资源,使容器看起来像独立系统:
- PID Namespace:进程隔离,容器内PID从1开始
- Net Namespace:独立网络设备、IP、端口
- IPC Namespace:进程间通信隔离
- Mount Namespace:独立文件系统视图
- UTS Namespace:独立主机名和域名
- User Namespace:用户UID/GID隔离
3.2 Cgroups(控制组)—资源限制
限制容器的资源使用,避免单个容器耗尽宿主机资源:
- CPU时间片分配
- 内存/Swap限制
- 磁盘I/O带宽
- 设备访问控制
3.3 Union File System(联合文件系统)—分层镜像
- 镜像由只读层组成,每层对应Dockerfile指令
- 容器启动时增加可写层,采用Copy-on-Write策略
- 多镜像共享底层层,节省存储和构建时间
3.4 容器运行时
- 管理容器生命周期
- Docker原先使用runc,现基于OCI标准的containerd
4. Docker架构简述
Docker Daemon负责管理镜像、容器、网络和存储,是Docker容器技术的核心组件。完整架构包括:
- Docker Daemon:管理镜像、容器、网络、存储
- Docker Client:CLI工具,通过REST API调用Daemon
- Docker Registry:存储镜像(Docker Hub或私有Harbor)
- Docker Images:只读模板,包含应用及依赖
- Docker Containers:镜像运行实例,可读写
5. 网络、数据与安全补充
网络模式:
- bridge:默认,容器间桥接通信
- host:使用宿主机网络,性能高,隔离弱
- overlay:跨宿主机网络
- macvlan:容器直接拥有MAC地址
数据管理:
- Volumes:持久化存储,可跨容器共享
- Bind Mounts:宿主机目录挂载
- tmpfs:内存挂载,重启即丢失
安全增强:
- 避免root用户运行
- 限制容器权限 (--cap-drop, --security-opt no-new-privileges)
- 镜像漏洞扫描(Trivy, Grype)
6. 为什么Docker适合微服务
| 优势 |
说明 |
| 环境一致性 |
每个微服务独立镜像,避免环境差异 |
| 隔离性 |
服务间互不干扰 |
| 资源限制 |
精准分配CPU/内存 |
| 敏捷性 |
独立构建、发布、扩展 |
| 可移植性 |
镜像可在任意Docker环境运行 |
7. 开发环境部署示例
假设应用由user-service和order-service组成。
7.1 创建Dockerfile
user-service/Dockerfile:
FROM maven:3.8.5-openjdk-17 AS builder
WORKDIR /app
COPY pom.xml .
COPY src ./src
RUN mvn package -DskipTests
FROM openjdk:17-jdk-slim
WORKDIR /app
COPY --from=builder /app/target/user-service-*.jar /app/user-service.jar
EXPOSE 8080
ENTRYPOINT ["java", "-jar", "/app/user-service.jar"]
7.2 构建镜像
docker build -t user-service:latest ./user-service
docker build -t order-service:latest ./order-service
7.3 Docker Compose编排
version: '3.8'
services:
user-service:
image: user-service:latest
ports: ["8081:8080"]
networks:
- my-network
order-service:
image: order-service:latest
ports: ["8082:8080"]
networks:
- my-network
networks:
my-network:
driver: bridge
7.4 启动服务
docker-compose up -d
8. 生产环境部署最佳实践
-
编排工具选择:对于生产环境,推荐使用编排工具如Kubernetes来实现自动扩缩容、负载均衡和服务发现
- Docker Swarm:简单易用
- 云托管:ECS / ACI
-
镜像管理:私有Registry(Harbor, AWS ECR)
-
日志与监控:
- 日志:统一输出到stdout/stderr,由收集系统处理
- 监控:Prometheus + Grafana + cAdvisor
-
安全策略:
- 镜像漏洞扫描
- 避免root运行
- 密钥管理(Vault)
9. 服务间通信与配置
- 使用服务名或DNS进行容器间通信
- 高流量可用服务网格(Istio/Linkerd)
- 配置管理推荐使用.env文件或配置中心(K8s ConfigMap/Secret, Consul, Spring Cloud Config)
10. CI/CD集成与调试技巧
- 镜像可直接集成到流水线:构建 → 测试 → 推送 → 部署
- 容器调试:
- docker exec -it <container> /bin/bash
- docker logs -f <container>
- docker stats 查看资源使用
11. 进阶性能优化
- 避免容器内不必要的守护进程
- 合理设置CPU/内存限制
- 镜像尽量只包含运行时依赖
12. Docker与Kubernetes关系
- Kubernetes通过容器运行时(containerd/cri-o)运行容器
- Docker镜像符合OCI标准,可无缝部署到K8s
总结
-
Docker原理核心:
- Namespace:提供隔离机制
- Cgroups:实现资源限制
- UnionFS:支持分层镜像
-
微服务部署优势:Docker提供独立、一致、可移植的运行环境
- 开发阶段:Dockerfile + Docker Compose
- 生产环境:Kubernetes / Swarm / 云服务
- 全链路管理:日志、监控、安全、CI/CD
这份指南涵盖了从原理到实战、从开发到生产、从基础到进阶优化的完整知识体系。
| 
发表于 前天 04:32
|
查看: 11|
回复: 0
