Docker 容器技术入门与环境部署

一、Docker 技术概述与核心概念解析

（一）Docker 技术本质与定位

Docker 是当前主流的操作系统级容器虚拟化技术，其核心价值在于通过轻量化隔离机制解决开发、测试与生产环境的一致性问题。与传统虚拟机（如 VMware）相比，Docker 直接复用宿主机内核，仅打包应用程序及其依赖项，实现 "一次构建，随处运行" 的高效部署模式。这种架构使得单个物理主机可同时运行数千个容器，资源利用率提升 3-5 倍。

（二）Docker 三大核心优势深度分析

对比维度	传统虚拟机	Docker 容器	技术原理差异
启动速度	分钟级	秒级（1-3 秒）	容器无需加载完整操作系统，仅启动应用进程
资源占用	每个 VM 约 5-10GB 磁盘	单个容器约 10-200MB	共享宿主机内核，仅存储应用层差异
性能损耗	20%-50%	<5%	无 Hypervisor 层虚拟化开销
系统支持量	单机约 20-50 个 VM	单机可运行 3000 + 容器	轻量级进程隔离机制

（三）核心概念体系架构

1. 镜像（Image）

• 本质：只读的容器构建模板，采用分层存储（AUFS 联合文件系统）
• 分层机制：每层代表一次变更，支持增量更新（如 CentOS 镜像基础层 + MySQL 应用层）
• 版本管理：通过 Tag 标签区分版本（如 nginx:1.24.0），Digest 指纹确保版本唯一性
• 实践价值：实现应用环境的标准化封装，解决 "环境不一致" 问题

2. 容器（Container）

• 运行实例：镜像的可读写运行实例，包含独立的文件系统、进程空间
• 生命周期：创建（create）→ 运行（run）→ 停止（stop）→ 删除（rm）
• 隔离技术：利用 Linux Namespace（UTS、PID、Network 等）实现资源隔离
• 进程模型：容器内主进程退出则容器停止，需确保服务进程持续运行

3. 仓库（Repository）

• 存储结构：Registry（注册服务器）→ Repository（仓库）→ Image（镜像）
• 公共仓库：Docker Hub（全球最大，超 200 万镜像）、阿里云镜像站等
• 私有仓库：企业级 Harbor/Registry，支持权限控制与内网部署
• 推拉机制：pull 拉取镜像，push 推送镜像，支持版本化管理

（四）典型应用场景架构

1. 微服务架构

• 每个微服务独立打包为容器，支持弹性扩缩容（如订单服务 3 个容器实例）
• 服务间通过容器网络通信，故障隔离性优于单体应用

2. CI/CD 流水线

• 代码提交→自动构建容器镜像→测试容器启动→生产环境部署
• 案例：GitHub Actions 集成 Docker，实现 10 分钟内从代码到生产的交付

3. 开发环境标准化

• 开发团队共享统一的 Docker 开发环境镜像（如 Node.js+MongoDB）
• 解决 "在我机器上能运行" 的环境一致性问题

二、CentOS 系统 Docker 环境部署实战

（一）环境准备与依赖配置

1. 系统要求

• 64 位 CentOS 7/8（内核版本≥3.10）
• 建议 2GB 以上内存，10GB 可用磁盘空间
• 关闭 SELinux 与防火墙（生产环境需配置白名单）

2. 关键配置命令解析

# 关闭防火墙与SELinux（永久生效）
systemctl stop firewalld && systemctl disable firewalld
setenforce 0 && sed -i 's/=enforcing/=disabled/' /etc/selinux/config

# 解析：
# 1. firewalld服务关闭避免端口访问限制
# 2. SELinux设置为disabled解决文件权限冲突问题

（二）阿里镜像源配置深度解析

1. 仓库文件配置

curl -o /etc/yum.repos.d/docker-ce.repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
sed -i 's/$releasever/8/g' /etc/yum.repos.d/docker-ce.repo
sed -i 's/$basearch/x86_64/g' /etc/yum.repos.d/docker-ce.repo

2. 配置参数说明

参数	原始值	修改后值	作用
$releasever	系统变量	8	适配 CentOS 8 仓库路径
$basearch	系统变量	x86_64	指定 64 位架构镜像

（三）镜像加速与内核优化

1. 国内镜像站配置

# /etc/docker/daemon.json配置
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "registry-mirrors": [
    "https://docker.m.daocloud.io",
    "https://docker.imgdb.de",
    "https://docker-0.unsee.tech",
    "https://docker.hlmirror.com"
  ]
}

2. 内核参数优化解析

cat >> /etc/sysctl.conf << EOF
net.ipv4.ip_forward=1
net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-iptables=1
EOF
sysctl -p

• ip_forward=1：启用 IP 转发，支持容器跨主机通信
• bridge-nf-call 规则：确保容器网络与宿主机防火墙规则兼容

（四）部署验证与常见问题

1. 服务启动与验证

systemctl daemon-reload  # 重新加载配置
systemctl start docker    # 启动Docker服务
systemctl enable docker   # 设置开机自启
docker version           # 验证安装版本

2. 典型故障排除

• 问题 ：pull 镜像时报错 "connection timeout"
  • 原因：国际镜像站访问受限
  • 解决方案：确认 daemon.json 镜像加速配置，重启 docker 服务
• 问题 ：容器启动后立即退出
  • 原因：主进程运行完毕
  • 解决方案 ：使用docker run -d后台运行，或确保进程持续运行

三、Docker 镜像操作核心技术详解

（一）镜像获取与版本管理

1. pull 命令深度解析

# 标准拉取命令
docker pull nginx:1.24.0

# 高级用法
docker pull -a ubuntu          # 拉取所有标签版本
docker pull --disable-content-trust nginx # 跳过签名验证

2. 镜像分层原理

• AUFS 文件系统：采用联合挂载技术，每层镜像为只读，容器运行时添加可写层
• 下载过程 ：输出各层 Layer 信息（如sha256:abc123），支持增量下载
• 空间优化：相同基础镜像的容器共享底层 Layer，节省磁盘空间

（二）镜像查询与元数据管理

1. images 命令详解

docker images # 列出本地镜像
# 输出字段解析：
# REPOSITORY：仓库名称（如nginx）
# TAG：标签（如1.24.0）
# IMAGE ID：镜像唯一标识（64位哈希值）
# CREATED：创建时间
# SIZE：镜像总大小（各层累加）

2. inspect 命令高级应用

docker inspect nginx:1.24.0 # 获取镜像详细信息
# 关键信息：
# - Config.Labels：镜像元数据标签
# - RootFS.Layers：各层文件系统路径
# - History：镜像构建历史记录

（三）镜像版本控制与迁移

1. tag 命令使用场景

# 重命名镜像标签
docker tag nginx:1.24.0 nginx:v1
# 跨仓库复制镜像
docker tag localhost:5000/nginx:1.24.0 registry.example.com/app/nginx:prod

2. 镜像导入导出机制

# 导出镜像为tar包（适用于离线环境）
docker save -o nginx.tar nginx:1.24.0
# 导入镜像
docker load < nginx.tar

3. 与 export/import 的区别

操作	作用对象	包含内容	用途
save/load	镜像	所有层 + 元数据 + 历史	镜像迁移
export/import	容器	当前文件系统	容器状态备份

（四）镜像清理与空间管理

1. rmi 命令使用规范

# 按标签删除
docker rmi nginx:v1
# 按ID删除（强制删除）
docker rmi -f c15a2b3c4d5

2. 注意事项

• 删除前需确保无容器依赖（使用docker ps -a检查）
• 多标签镜像删除某标签不影响镜像本身，仅删除引用
• 推荐使用docker image prune自动清理未使用镜像

四、Docker 容器操作全流程指南

（一）容器创建与启动机制

1. create 与 run 命令对比

命令	操作效果	典型场景
docker create	创建容器但不启动	批量预配置容器
docker run	创建并启动容器	快速部署应用

2. run 命令高级参数解析

# 后台运行并映射端口
docker run -d -p 8080:80 nginx:1.24.0
# 交互式容器（开发调试）
docker run -it centos:7 /bin/bash
# 资源限制
docker run -m 512m --cpus 0.5 mysql:8.0

（二）容器生命周期管理

1. 状态转换图

创建（create） → 运行（running） ←→ 停止（stopped）
        ↑                                  ↓
        └────────── 删除（removed） ──────────┘

2. 关键命令详解

docker start 5a1b2c   # 启动容器
docker stop -t 20 b18 # 优雅停止（等待20秒）
docker kill b18       # 强制终止
docker rm 7f3d4e      # 删除容器（需先停止）

（三）容器交互与调试

1. exec 命令使用技巧

# 进入正在运行的容器
docker exec -it 03f /bin/bash
# 执行一次性命令
docker exec 03f ls /root

2. 日志与监控

docker logs -f 03f       # 实时查看日志
docker stats 03f         # 监控资源使用
docker top 03f           # 查看容器内进程

（四）容器数据管理

1. 数据卷挂载机制

# 宿主机路径挂载
docker run -v /host/data:/container/data nginx:1.24.0
# 匿名数据卷（自动创建）
docker run -v /config nginx:1.24.0

2. 数据卷与绑定挂载对比

类型	存储位置	生命周期	优势
数据卷（volume）	/var/lib/docker/volumes	独立于容器	支持数据持久化
绑定挂载（bind）	宿主机任意路径	随容器删除	灵活映射

（五）容器迁移与备份

1. 导出导入流程

# 导出容器文件系统
docker export 03f > centos7.tar
# 导入为新镜像
docker import centos7.tar centos7:test

2. 与镜像迁移的区别

• 容器导出仅包含当前文件系统状态，不包含镜像构建历史
• 适用于容器配置修改后的备份，不适用于应用分发场景

五、文档知识体系总结与拓展建议

（一）核心知识图谱

Docker技术
├── 核心概念
│   ├── 镜像（Image）------ 只读模板，分层存储
│   ├── 容器（Container）------ 运行实例，进程隔离
│   └── 仓库（Repository）------ 镜像存储中心
├── 技术优势
│   ├── 轻量级：秒级启动，资源占用低
│   ├── 可移植：一次构建，多环境运行
│   └── 高效性：单机支持数千容器
├── 操作体系
│   ├── 镜像操作：pull/tag/inspect/rm
│   ├── 容器操作：run/start/stop/exec
│   └── 数据管理：volume/bind/export
└── 应用场景
    ├── 微服务架构
    ├── CI/CD流水线
    └── 开发环境标准化

（二）实践拓展建议

1. 进阶学习路径

• 学习 Docker Compose（多容器编排）
• 掌握 Kubernetes（容器集群管理）
• 实践 Docker Swarm（原生集群方案）

2. 生产环境注意事项

• 镜像安全：使用 Docker Content Trust 签名
• 资源限制：为每个容器设置 CPU / 内存上限
• 日志管理：配置集中式日志收集（ELK Stack）
• 网络策略：使用 Docker Network 配置隔离网络

3. 推荐工具链

• 镜像构建：Dockerfile + BuildKit
• 容器监控：Prometheus + Grafana
• 安全扫描：Trivy + Clair
• 配置管理：Docker Secret（Swarm 模式）