在容器化技术广泛应用的今天,Docker 已成为开发者和运维人员的必备工具。然而,"容器虽轻,隐患不小"------不当使用极易导致磁盘爆满、安全漏洞、数据丢失等问题。本文结合真实生产案例,系统梳理 Docker 使用中的关键注意事项,助你高效、安全、稳定地驾驭这一强大工具。
一、磁盘空间管理:避免"No space left on device"
1.1 问题现象
执行 CREATE TABLE 或 docker build 时突然报错:
text
Error writing file './xxx.frm' (Errcode: 28 "No space left on device")但 df -h 显示 / 分区已满,而业务数据并不大。
1.2 根本原因
Docker 自身资源堆积是罪魁祸首,尤其是:
- 构建缓存(Build Cache):长期使用 BuildKit 会无限累积
- 未清理的镜像与停止容器
- 容器日志无限制增长
📊 典型案例:某服务器 40GB 磁盘,Docker 占用 16.9GB(其中 Build Cache 高达 9.8GB)!
1.3 解决方案
✅ 紧急清理
bash
# 一键释放所有可回收空间(保留运行中容器)
docker system prune -a --volumes --force✅ 清空容器日志(不停服务)
bash
# 安全清空所有容器日志
truncate -s 0 /var/lib/docker/containers/*/*-json.log✅ 长期预防:配置日志轮转
编辑 /etc/docker/daemon.json:
json
{
"log-driver": "json-file",
"log-opts": {
"max-size": "100m",
"max-file": "3"
},
"builder": {
"gc": {
"enabled": true,
"defaultKeepStorage": "5GB"
}
}
}重启生效:
bash
systemctl restart docker✅ 自动化清理(每日凌晨)
bash
# crontab -e
0 3 * * * /usr/bin/docker system prune -af --volumes >> /var/log/docker-cleanup.log 2>&1💡 关键认知 :容器日志生命周期 = 容器生命周期。只要容器存在,日志就不会被
prune自动清理!
二、安全实践:最小权限与镜像安全
2.1 禁止以 root 用户运行容器
默认情况下,容器以 root 身份运行,一旦被攻破将威胁宿主机。
正确做法:
Dockerfile
# 在 Dockerfile 中创建非特权用户
RUN groupadd -r appgroup && useradd -r -g appgroup appuser
USER appuser或运行时指定:
bash
docker run --user 1000:1000 myimage2.2 镜像安全
- 不使用
latest标签 :明确指定版本如nginx:1.24 - 使用官方或可信镜像:优先选择 Docker Hub 认证镜像
- 定期扫描漏洞:集成 Trivy、Clair 到 CI/CD 流程
- 不在镜像中硬编码密钥:使用环境变量或 Secret 管理
三、数据持久化:容器是临时的!
3.1 核心原则
"容器内文件系统是临时的!关机即丢。"
任何需要持久保存的数据(如数据库、用户上传文件)必须使用 Volumes 或 Bind Mounts。
错误示例:
bash
# 数据随容器销毁而丢失!
docker run -d mysql:8.0正确做法:
bash
# 使用命名卷(推荐)
docker volume create mysql-data
docker run -d -v mysql-data:/var/lib/mysql mysql:8.0
# 或绑定宿主机目录
docker run -d -v /host/data:/var/lib/mysql mysql:8.0四、网络与资源限制
4.1 网络配置
-
避免使用
--network host:破坏隔离性,仅用于性能敏感场景 -
多容器应用使用自定义 bridge 网络 :
bashdocker network create mynet docker run --network mynet --name web nginx docker run --network mynet alpine ping web # 可直接通过容器名通信
4.2 资源限制
防止" noisy neighbor "问题:
bash
# 限制内存与 CPU
docker run -m 500m --cpus=1.5 myapp
# Docker Compose 示例
deploy:
resources:
limits:
memory: 500M
cpus: '1.5'五、镜像构建最佳实践
5.1 编写高效 Dockerfile
-
使用
.dockerignore:排除.git、node_modules等无关文件 -
合并 RUN 指令 :减少层数,但需权衡缓存效率
DockerfileRUN apt-get update && apt-get install -y curl \ && rm -rf /var/lib/apt/lists/* -
多阶段构建 :分离构建与运行环境,大幅减小镜像体积
DockerfileFROM node:16 AS builder COPY . . RUN npm ci && npm run build FROM node:16-alpine COPY --from=builder /app/dist ./dist USER node CMD ["node", "server.js"]
5.2 基础镜像选择
- 优先使用
alpine或distroless镜像 - 避免安装不必要的包(如
vim,curl仅用于调试)
六、监控与调试
6.1 实时监控
bash
# 查看容器资源消耗
docker stats
# 查看日志
docker logs -f <container>6.2 调试技巧
bash
# 进入运行中容器(推荐 exec)
docker exec -it <container> sh
# 查看容器内部进程
docker top <container>七、一句话总结
Docker 不是虚拟机,而是带资源限制与隔离的"高级进程"。
理解其底层机制(Namespaces、Cgroups、UnionFS),遵循"一个容器一个服务"、"数据外挂"、"最小权限"原则,方能安全、高效、稳定地用于开发与生产。
附录:常用命令速查
| 场景 | 命令 |
|---|---|
| 查看磁盘占用 | df -h |
| 分析 Docker 空间 | docker system df |
| 清理所有垃圾 | docker system prune -a --volumes -f |
| 清空容器日志 | truncate -s 0 /var/lib/docker/containers/*/*-json.log |
| 限制容器资源 | docker run -m 500m --cpus=1 myapp |
| 进入容器 | docker exec -it <id> sh |
通过以上实践,你将能有效规避 Docker 使用中的常见陷阱,构建更健壮、安全、高效的容器化应用。