Dcker容器云部署实验手册

Docker容器云部署实验手册1实验概述1.1实验目标本实验手册旨在帮助学员系统掌握Docker容器技术的核心概念和实际操作技能，全面了解容器云部署的完整流程。通过本实验，学员将能够独立完成Docker环境的搭建、镜像管理、容器操作、网络配置、数据持久化等关键任务，并进一步学习容器编排和CI/CD集成等高级应用场景。实验内容紧密结合企业级实践需求，突出2025年容器技术的最新发展趋势和最佳实践。1.2实验环境要求1.2.1硬件配置-内存：至少4GB，推荐8GB以上以确保流畅运行多个容器-存储：至少20GB可用磁盘空间，用于存储镜像和容器数据-CPU：64位处理器，至少2核，支持虚拟化技术1.2.2软件环境-操作系统：-Linux：Ubuntu24.04LTS或CentOS9-Windows：Windows11withWSL2-macOS：macOSSonoma(14.x)或更高版本-依赖组件：-Linux系统需启用cgroupv2和overlay2存储驱动-确保系统内核版本不低于3.10（CentOS7需注意部分功能可能受限）1.2.3网络要求-稳定的互联网连接，用于拉取Docker镜像和相关软件包-若处在企业网络环境中，需配置适当的代理设置-建议配置国内镜像加速器以提高下载速度2Docker技术基础2.1容器技术概述容器技术是一种轻量级虚拟化解决方案，它将应用程序及其所有依赖项（库、配置文件、环境变量等）打包到一个标准化单元中。与传统虚拟机相比，容器共享主机操作系统内核，避免了额外的虚拟化开销，实现了更高的资源利用率和更快的启动速度。Docker作为容器技术的代表，在2025年的云计算生态中已成为开发者构建、部署和运行应用的标配工具。其核心价值体现在三个方面：环境一致性（开发、测试、生产环境无缝衔接）、资源隔离性（每个容器独立运行，避免依赖冲突）和部署敏捷性（秒级启动，支持横向扩展）。以某电商团队为例，2024年其通过Docker重构微服务架构后，部署时间从30分钟缩短至2分钟，服务器资源利用率提升40%。2.2Docker核心概念2.2.1Docker镜像Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。镜像可以理解为容器的"蓝图"，采用分层存储结构，使得镜像共享和传输更加高效。2.2.2Docker容器容器是镜像的运行时实例，类似于面向对象编程中类和对象的关系。容器可以被创建、启动、停止、删除、暂停等。容器的实质是进程，但与直接在宿主机执行的进程不同，容器进程运行于属于自己的独立的命名空间。因此容器可以拥有自己的root文件系统、自己的网络配置、自己的进程空间，甚至自己的用户ID空间。2.2.3Docker仓库Docker仓库是集中存储和分发镜像的服务。一个DockerRegistry中可以包含多个仓库；每个仓库可以包含多个标签；每个标签对应一个镜像。常见的公共仓库包括DockerHub、阿里云容器镜像服务等，企业也可以搭建私有的DockerRegistry以满足安全合规要求。3Docker安装与配置3.1Linux系统安装3.1.1环境准备在开始安装前，需要先进行环境准备，确保系统满足Docker运行的最低要求：```bash更新系统包管理器sudoapt-getupdate卸载可能的旧版本Dockersudoapt-getremovedockerdocker-enginedocker.iocontainerdrunc``3.1.2安装依赖包安装Docker所需的依赖包和工具：```bash安装依赖包sudoapt-getinstallapt-transport-httpsca-certificatescurlgnupg-agentsoftware-properties-common```3.1.3添加Docker官方GPG密钥和仓库添加Docker的官方GPG密钥并配置稳定版仓库：```bash添加Docker官方GPG密钥curl-fsSL/linux/ubuntu/gpg|sudoapt-keyadd-添加稳定版仓库sudoadd-apt-repository"deb[arch=amd64]/linux/ubuntu$(lsb_release-cs)stable"```3.1.4安装Docker引擎更新包索引并安装DockerCE（社区版）：```bash更新包索引sudoapt-getupdate安装DockerCEsudoapt-getinstalldocker-cedocker-ce-clicontainerd.io```3.1.5验证安装安装完成后，通过运行hello-world镜像验证Docker是否正确安装：```bash验证Docker安装sudodockerrunhello-world```3.2配置与优化3.2.1镜像加速器配置为提升在国内拉取Docker镜像的速度，需要配置国内镜像加速器：```bash创建或修改Docker守护进程配置文件sudomkdir-p/etc/dockersudotee/etc/docker/daemon.json<<-'EOF'{"registry-mirrors":["https://<your-mirror-id>."]}EOF重启Docker服务使配置生效sudosystemctldaemon-reloadsudosystemctlrestartdocker```3.2.2用户权限配置默认情况下，Docker需要root权限才能运行。可以将当前用户添加到docker组，以避免每次运行Docker命令都需要sudo：```bash将当前用户添加到docker组sudousermod-aGdocker$USER重新登录使组更改生效newgrpdocker```3.2.3存储驱动优化Overlay2是Docker推荐的存储驱动，适用于所有支持的Linux发行版，并在DockerEngine18.09及更高版本中作为默认存储驱动。要确认当前使用的存储驱动，可以执行：```bash检查Docker存储驱动dockerinfo|grep"StorageDriver"```4Docker核心操作4.1镜像生命周期管理4.1.1镜像拉取与查看从Docker仓库拉取镜像并查看本地镜像列表：```bash从DockerHub拉取官方Nginx镜像（默认最新标签）dockerpullnginx拉取指定标签的镜像（推荐使用轻量级Alpine版本）dockerpullnginx:alpine查看本地已下载的镜像列表dockerimages```4.1.2镜像构建与优化通过Dockerfile构建自定义镜像，并采用优化策略减少镜像大小：```bash创建构建上下文目录mkdirmyapp&&cdmyapp创建Dockerfilecat>Dockerfile<<EOF使用官方PythonAlpine镜像作为基础镜像FROMpython:3.12-alpine设置工作目录WORKDIR/app复制依赖文件COPYrequirements.txt.安装依赖（合并RUN指令减少层数，清理缓存减小体积）RUNpipinstall--no-cache-dir-rrequirements.txt复制应用代码COPY..暴露端口EXPOSE80定义启动命令CMD["python","app.py"]EOF构建镜像（使用-t参数指定镜像标签）dockerbuild-tmy-python-app.```镜像优化技巧：-使用多阶段构建减少最终镜像大小-合并RUN指令减少镜像层数-选择轻量级基础镜像（如AlpineLinux）-清理不必要的缓存和临时文件4.1.3镜像推送与删除将本地镜像推送到镜像仓库或删除不需要的本地镜像：```bash标记镜像，准备推送到私有仓库dockertagmy-python-app/my-python-app:v1.0推送镜像到私有仓库（需要先登录）dockerpush/my-python-app:v1.0删除本地镜像（强制删除使用-f参数）dockerrmimy-python-app```4.2容器全生命周期操作4.2.1容器创建与运行创建和运行容器，配置相关运行参数：```bash以交互模式运行容器（适合调试）dockerrun-it--namemy-containerubuntu/bin/bash以守护进程模式运行容器（适合生产环境）dockerrun-d--nameweb-p8080:80nginx:alpine带资源限制的运行容器dockerrun-it--cpus=1--memory=512mubuntubash```参数说明：-`-i`：以交互模式运行容器，通常与`-t`同时使用-`-t`：为容器重新分配一个伪输入终端-`-d`：后台运行容器-`-p`：端口映射，格式为"`宿主机端口:容器端口`"-`--name`：为容器指定名称-`--cpus`：限制容器使用的CPU核心数-`--memory`：限制容器使用的内存大小4.2.2容器状态管理管理容器的运行状态，包括启动、停止、重启等操作：```bash查看运行中的容器dockerps查看所有容器（包括已停止的）dockerps-a停止运行中的容器dockerstopweb启动已停止的容器dockerstartweb重启容器dockerrestartweb删除容器（必须先停止）dockerrmweb```4.2.3容器交互与调试与运行中的容器进行交互，查看容器内部状态：```bash在运行的容器中执行命令（推荐使用sh以兼容Alpine镜像）dockerexec-itwebsh查看容器日志dockerlogs-fweb查看容器资源使用情况dockerstats查看容器详细信息dockerinspectweb```5Docker镜像制作与定制5.1Dockerfile详解Dockerfile是一个文本文件，包含了一条条的指令，每一条指令构建一层，由此构建自定义镜像。以下是Dockerfile常用指令详解：```dockerfile指定基础镜像FROMnginx设置维护者信息（已弃用，推荐使用标签）LABELmaintainer="your-email@"设置工作目录WORKDIR/app复制文件到镜像中COPY./app执行构建命令RUNecho'<h1>QINGCLOUD</h1>'>/usr/share/nginx/html/index.html暴露端口EXPOSE80设置环境变量ENVNAMEWorld设置容器启动命令CMD["nginx","-g","daemonoff;"]设置入口点ENTRYPOINT["/app/start.sh"]```5.2多阶段构建多阶段构建是优化Docker镜像大小的有效技术，特别适用于需要编译环境但运行时环境较小的应用：```dockerfile第一阶段：构建环境FROMpython:3.12asbuilderWORKDIR/buildCOPYrequirements.txt.RUNpipinstall--user-rrequirements.txt第二阶段：生产环境FROMpython:3.12-alpineWORKDIR/appCOPY--from=builder/root/.local/root/.localCOPY..确保运行时可以找到安装的包ENVPATH=/root/.local/bin:$PATHCMD["python","app.py"]```5.3实战案例：定制Nginx镜像以下是一个完整的Nginx定制镜像构建案例：```bash创建项目目录mkdirnginx-custom&&cdnginx-custom创建自定义首页mkdirtemplatesecho'<h1>WelcometoMyCustomNginx</h1>'>templates/index.html创建Dockerfilecat>Dockerfile<<EOFFROMnginx:alpine复制自定义配置文件COPYtemplates/index.html/usr/share/nginx/html/index.html暴露端口EXPOSE80启动NginxCMD["nginx","-g","daemonoff;"]EOF构建镜像dockerbuild-tmy-nginx:latest.运行自定义镜像dockerrun-d-p80:80--namemy-nginx-sitemy-nginx:latest```6Docker网络与存储6.1Docker网络模式Docker提供了多种网络模式，满足不同场景下的容器通信需求：6.1.1网络模式分类-Bridge模式：默认模式，容器通过虚拟网桥docker0进行通信-Host模式：容器共享主机网络栈，性能最高但安全性降低-None模式：容器没有网络接口，仅具有lo回环网络-Overlay网络：支持跨主机容器通信，需配合Swarm或Kubernetes使用-自定义网络：用户定义的网络，提供更灵活的网络配置选项6.1.2网络操作实战```bash查看Docker网络列表dockernetworkls创建自定义网络dockernetworkcreateapp-network在指定网络中运行容器dockerrun-d--nameservice1--networkapp-networknginx将现有容器连接到网络dockernetworkconnectapp-networkexisting-container断开容器与网络的连接dockernetworkdisconnectapp-networkexisting-container```6.2数据持久化方案容器本身是临时性的，为了保证数据持久化，Docker提供了多种数据管理方案：6.2.1数据卷管理数据卷是存储在宿主机上的特殊目录，用于绕过容器存储层的持久化存储：```bash创建数据卷dockervolumecreatemy_vol查看数据卷列表dockervolumels使用数据卷启动容器dockerrun-d-vmy_vol:/data--namedbmysql:8.0检查数据卷详细信息dockervolumeinspectmy_vol删除未使用的数据卷dockervolumeprune```6.2.2绑定挂载绑定挂载将宿主机的特定目录或文件挂载到容器中：```bash将宿主机目录挂载到容器中dockerrun-d-v/host/path:/container/path--namewebnginx挂载具有特定权限的目录（SELinux环境下）dockerrun-v/host/data:/container/data:rw,Znginx```6.2.3实战案例：数据库数据持久化以MySQL数据库为例，演示如何保证数据库数据的持久化：```bash创建专用于MySQL的数据卷dockervolumecreatemysql_data使用数据卷启动MySQL容器dockerrun-d\--namemysql-db\-vmysql_data:/var/lib/mysql\-eMYSQL_ROOT_PASSWORD=secure_password\-eMYSQL_DATABASE=myapp\mysql:8.0验证数据持久化dockerstopmysql-dbdockerrmmysql-db重新创建容器，数据仍然存在dockerrun-d\--namenew-mysql-db\-vmysql_data:/var/lib/mysql\mysql:8.0```7DockerCompose与容器编排7.1DockerCompose基础DockerCompose是一个用于定义和运行多容器Docker应用程序的工具，通过YAML文件配置应用服务，使用单个命令即可创建并启动所有服务。7.1.1Compose文件结构典型的docker-compose.yml文件包含以下部分：```yaml指定Compose文件版本version:'3.8'定义服务services:Web服务web:image:nginx:alpineports:-"8080:80"networks:-app-networkdepends_on:-db数据库服务db:image:mysql:8.0environment:MYSQL_ROOT_PASSWORD:exampleMYSQL_DATABASE:myappvolumes:-db_data:/var/lib/mysqlnetworks:-app-network定义网络networks:app-network:driver:bridge定义数据卷volumes:db_data:{}```7.1.2Compose实战：WordPress部署以下是一个完整的WordPress部署示例：```yamldocker-compose.ymlversion:'3.8'services:db:image:mysql:8.0volumes:-db_data:/var/lib/mysqlenvironment:MYSQL_ROOT_PASSWORD:exampleMYSQL_DATABASE:wordpressMYSQL_USER:wordpressMYSQL_PASSWORD:wordpressnetworks:-wordpress-networkwordpress:image:wordpress:latestports:-"8080:80"environment:WORDPRESS_DB_HOST:dbWORDPRESS_DB_USER:wordpressWORDPRESS_DB_PASSWORD:wordpressWORDPRESS_DB_NAME:wordpressdepends_on:-dbnetworks:-wordpress-networkvolumes:db_data:{}networks:wordpress-network:driver:bridge```启动WordPress堆栈：```bash在后台启动所有服务dockercomposeup-d查看服务状态dockercomposeps查看服务日志dockercomposelogs-f停止并删除服务dockercomposedown```7.2Swarm集群部署DockerSwarm是Docker官方的容器编排工具，适合轻量级集群部署场景：7.2.1Swarm集群初始化```bash初始化Swarm集群dockerswarminit--advertise-addr<manager-ip>将工作节点加入集群（在manager节点上运行以上命令后会显示加入令牌）dockerswarmjoin--token<token><manager-ip>:2377查看集群节点状态dockernodels```7.2.2Swarm服务管理```bash创建Swarm服务dockerservicecreate--nameweb--replicas3-p80:80nginx:alpine扩展服务副本数dockerservicescaleweb=5更新服务配置dockerserviceupdate--imagenginx:latestweb查看服务详情dockerservicepsweb回滚服务更新dockerserviceupdate--rollbackweb```8容器安全与运维8.1Docker安全最佳实践容器安全是生产环境部署的关键考量因素，以下是2025年推荐的安全加固措施：8.1.1安全加固十要素1.定期更新基础镜像：使用`dockerpull`获取最新安全补丁2.禁用特权模式：避免使用`--privileged`参数3.使用非root用户运行容器：减少权限提升风险4.限制系统调用：使用`--cap-drop`移除不必要的Linux能力5.启用seccomp配置文件：过滤危险系统调用6.扫描镜像漏洞：使用Trivy或Clair等工具7.启用日志驱动：配置集中式日志收集8.设置资源配额：防止DDoS攻击导致的资源耗尽9.使用DockerContentTrust：验证镜像签名10.定期审计容器活动：使用`dockerevents`监控异常行为8.1.2安全配置示例```bash以非root用户运行容器dockerrun-d--namesecure-app--user1001:1001nginx:alpine移除容器所有特权，仅添加必要的能力dockerrun-d--namesecure-app\--cap-dropALL\--cap-addNET_BIND_SERVICE\nginx:alpine设置只读根文件系统dockerrun-d--namesecure-app\--read-only\-v/tmp:/tmp\nginx:alpine```8.2监控与日志管理8.2.1容器监控方案```bash查看实时容器资源使用情况dockerstats检查容器详细信息dockerinspectcontainer_name使用cAdvisor收集容器指标（Google开源的容器监控工具）dockerrun-d\--name=cadvisor\-p8080:8080\-v/:/rootfs:ro\-v/var/run:/var/run:ro\-v/sys:/sys:ro\google/cadvisor:latest```8.2.2日志管理实践```bash查看容器日志dockerlogs-fcontainer_name配置日志驱动（在daemon.json中）{"log-driver":"json-file","log-opts":{"max-size":"10m","max-file":"3"}}使用ELK栈收集容器日志dockerrun-d--nameelasticsearch-p9200:9200elasticsearch:8.0dockerrun-d--namelogstash--linkelasticsearch:eslogstash:8.0dockerrun-d--namekibana--linkelasticsearch:es-p5601:5601kibana:8.0```9持续集成与部署9.1CI/CD流程集成利用Docker容器平台进行持续集成与部署可以显著提高软件开发效率和应用程序质量。以下是基于Jenkins的CI/CD流水线示例：9.1.1Jenkins容器化部署```bash启动Jenkins容器dockerrun-d\--namejenkins\-p8080:8080\-p50000:50000\--restart=on-failure\-vjenkins_home:/var/jenkins_home\jenkins/jenkins:lts-jdk17```9.1.2流水线配置示例```groovy//Jenkinsfile示例pipeline{agentanystages{stage('Build'){steps{//构建Docker镜像sh'dockerbuild-tmy-app:${BUILD_NUMBER}.'}}stage('Test'){steps{//运行容器化测试sh'dockerrunmy-app:${BUILD_NUMBER}python-munittestdiscover'}}stage('Deploy'){steps{//推送镜像到仓库sh'dockertagmy-app:${BUILD_NUMBER}/my-app:latest'sh'dockerpush/my-app:latest'//部署到生产环境sh'docker-composepull&&docker-composeup-d'}}}post{always{//清理构建容器和镜像sh'dockersystemprune-f'}}}```9.2GitLabCI集成GitLabCI/CD与Docker天然集成，提供强大的自动化能力：9.2.1.gitlab-ci.yml配置```yaml.gitlab-ci.yml示例stages:-build-test-deploybuild:stage:buildscript:-dockerbuild-tmy-python-app.test:stage:testscript:-dockerrunmy-python-apppython-munittestdiscoverdeploy:stage:deployscript:-dockerlogin-u$CI_REGISTRY_USER-p$CI_REGISTRY_PASSWORD$CI_REGISTRY-dockertagmy-python-app$CI_REGISTRY_IMAGE:latest-dockerpush$CI_REGISTRY_IMAGE:latestonly:-master```10企业级实战案例10.1金融系统高可用架构金融行业对系统可用性和安全性有极高要求，以下是一个基于DockerSwarm的金融系统高可用方案：10.1.1架构设计-技术栈：DockerSwarm+VIP负载均衡-高可用目标：故障转移时间<3秒-数据持久化：多副本数据卷+定期备份-安全合规：非root用户运行+网络策略限制10.1.2部署配置```yamldocker-compose.swarm.ymlversion:'3.8'services:app:image:my-finance-app:latestdeploy:replicas:6update_config:parallelism:2delay:10sorder:start-firstrestart_policy:condition:on-failuredelay:5smax_attempts:3placement:constraints:-node.role==workerenvironment:-DB_HOST=db-cluster-REDIS_HOST=redis-clusternetworks:-finance-networkdb-cluster:image:mysql:8.0deploy:replicas:3placement:constraints:-node.role==managervolumes:-db_data:/var/lib/mysqlenvironment:-MYSQL_ROOT_PASSWORD_FILE=/run/secrets/db_ro