Docker容器技术入门与安装配置指南

1. Docker容器生态概述

在当今的云计算和DevOps领域，Docker已经成为容器技术的代名词。作为一个开源的容器化平台，Docker通过操作系统级虚拟化技术，将应用程序及其所有依赖项打包到一个标准化的单元中，这个单元就是我们所说的容器。与传统的虚拟机相比，Docker容器更加轻量级、启动更快、资源占用更少，同时保持了良好的隔离性。

Docker生态系统的核心组件包括：

• Docker Engine：运行和管理容器的核心服务
• Docker Hub：官方的容器镜像仓库
• Docker Compose：用于定义和运行多容器应用的工具
• Docker Swarm：原生的集群管理工具
• Docker Desktop：适用于开发环境的桌面版本

2. Docker安装前的准备工作

2.1 系统要求检查

在安装Docker之前，首先需要确认你的系统满足以下基本要求：

对于Linux系统：

• 64位操作系统
• 内核版本3.10或更高
• 至少2GB内存（生产环境建议4GB以上）
• 支持overlay2存储驱动

对于Windows系统：

• Windows 10 64位专业版、企业版或教育版（版本1607或更高）
• 启用Hyper-V和容器功能
• 至少4GB内存

对于macOS系统：

• macOS 10.13或更高版本
• 至少4GB内存

2.2 环境准备

在Linux系统上，建议先更新系统软件包：

bash复制sudo apt-get update && sudo apt-get upgrade -y  # 对于Debian/Ubuntu
sudo yum update -y  # 对于CentOS/RHEL

对于Windows和macOS用户，建议关闭可能冲突的安全软件，并确保系统有足够的磁盘空间（至少20GB可用空间）。

3. Docker安装详细步骤

3.1 Linux系统安装

3.1.1 Debian/Ubuntu系统安装

1. 卸载旧版本（如有）：

bash复制sudo apt-get remove docker docker-engine docker.io containerd runc

2. 安装依赖包：

bash复制sudo apt-get install -y \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

3. 添加Docker官方GPG密钥：

bash复制curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

4. 设置稳定版仓库：

bash复制echo \
  "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

5. 安装Docker Engine：

bash复制sudo apt-get update
sudo apt-get install -y docker-ce docker-ce-cli containerd.io

3.1.2 CentOS/RHEL系统安装

1. 卸载旧版本：

bash复制sudo yum remove docker \
    docker-client \
    docker-client-latest \
    docker-common \
    docker-latest \
    docker-latest-logrotate \
    docker-logrotate \
    docker-engine

2. 安装依赖包：

bash复制sudo yum install -y yum-utils

3. 设置仓库：

bash复制sudo yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo

4. 安装Docker Engine：

bash复制sudo yum install -y docker-ce docker-ce-cli containerd.io

3.2 Windows系统安装

1. 下载Docker Desktop安装程序：

   • 访问Docker官网下载Windows版本安装包

2. 运行安装程序：

   • 双击下载的Docker Desktop Installer.exe文件
   • 按照向导完成安装

3. 启用WSL 2后端（推荐）：

   • 安装WSL 2内核更新包
   • 在PowerShell中运行：wsl --set-default-version 2

4. 启动Docker Desktop：

   • 从开始菜单启动Docker Desktop
   • 等待初始化完成

3.3 macOS系统安装

1. 下载Docker Desktop for Mac：

   • 访问Docker官网下载macOS版本安装包

2. 安装Docker：

   • 双击下载的.dmg文件
   • 将Docker图标拖到Applications文件夹

3. 首次运行：

   • 从Applications文件夹启动Docker
   • 授权安装过程
   • 等待Docker引擎启动

4. Docker安装后配置

4.1 验证安装

安装完成后，可以通过以下命令验证Docker是否安装成功：

bash复制docker --version
docker run hello-world

如果看到Docker版本信息和"Hello from Docker!"消息，说明安装成功。

4.2 非root用户权限配置

默认情况下，Docker需要root权限。为了让普通用户也能运行Docker命令：

1. 创建docker组（如果不存在）：

bash复制sudo groupadd docker

2. 将用户添加到docker组：

bash复制sudo usermod -aG docker $USER

3. 重新登录或运行以下命令使更改生效：

bash复制newgrp docker

4.3 配置镜像加速器（针对国内用户）

为了加快镜像下载速度，可以配置国内镜像源：

1. 编辑或创建daemon.json文件：

bash复制sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF

2. 重启Docker服务：

bash复制sudo systemctl restart docker

5. Docker基本操作与使用

5.1 容器生命周期管理

1. 运行容器：

bash复制docker run -it ubuntu bash

2. 列出运行中的容器：

bash复制docker ps

3. 列出所有容器（包括停止的）：

bash复制docker ps -a

4. 停止容器：

bash复制docker stop <container_id>

5. 启动已停止的容器：

bash复制docker start <container_id>

6. 删除容器：

bash复制docker rm <container_id>

5.2 镜像管理

1. 拉取镜像：

bash复制docker pull ubuntu:20.04

2. 列出本地镜像：

bash复制docker images

3. 删除镜像：

bash复制docker rmi <image_id>

4. 构建镜像（通过Dockerfile）：

bash复制docker build -t my-image .

6. Docker存储与网络配置

6.1 数据卷管理

1. 创建数据卷：

bash复制docker volume create my-vol

2. 列出数据卷：

bash复制docker volume ls

3. 挂载数据卷到容器：

bash复制docker run -d --name devtest -v my-vol:/app nginx:latest

6.2 网络配置

1. 列出网络：

bash复制docker network ls

2. 创建自定义网络：

bash复制docker network create my-net

3. 将容器连接到网络：

bash复制docker network connect my-net my-container

7. Docker Compose多容器管理

7.1 安装Docker Compose

对于Linux系统：

bash复制sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose

7.2 编写docker-compose.yml文件示例

yaml复制version: '3'
services:
  web:
    image: nginx:alpine
    ports:
      - "80:80"
    volumes:
      - ./html:/usr/share/nginx/html
  db:
    image: postgres:13
    environment:
      POSTGRES_PASSWORD: example

7.3 常用Compose命令

1. 启动服务：

bash复制docker-compose up -d

2. 停止服务：

bash复制docker-compose down

3. 查看服务状态：

bash复制docker-compose ps

8. 生产环境部署建议

8.1 安全最佳实践

1. 不要以root用户运行容器：

bash复制docker run -u 1000 my-image

2. 限制容器资源：

bash复制docker run -it --cpus=".5" --memory="512m" ubuntu

3. 使用只读文件系统：

bash复制docker run --read-only -it alpine sh

8.2 日志管理

1. 查看容器日志：

bash复制docker logs <container_id>

2. 配置日志驱动（在daemon.json中）：

json复制{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3"
  }
}

8.3 监控与维护

1. 查看容器资源使用情况：

bash复制docker stats

2. 定期清理无用资源：

bash复制docker system prune

3. 检查Docker磁盘使用：

bash复制docker system df

9. 常见问题排查

9.1 安装问题

问题1：在Linux上安装后无法启动Docker服务

解决方案：

1. 检查内核版本：uname -r（需≥3.10）
2. 查看日志：journalctl -u docker.service
3. 常见原因：SELinux冲突、存储驱动不兼容

问题2：Windows/macOS安装后Docker无法启动

解决方案：

1. 确保已启用虚拟化（BIOS设置）
2. 检查Hyper-V/WSL2是否已正确安装
3. 尝试重置Docker Desktop设置

9.2 运行时问题

问题1：容器无法访问外部网络

解决方案：

1. 检查DNS配置：docker run --dns 8.8.8.8
2. 验证网络模式：docker network inspect bridge
3. 检查防火墙设置

问题2：磁盘空间不足

解决方案：

1. 清理无用镜像：docker image prune -a
2. 调整存储驱动配置
3. 限制日志文件大小

9.3 性能问题

问题1：容器性能下降

解决方案：

1. 检查资源限制：docker stats
2. 优化存储驱动（推荐overlay2）
3. 考虑使用更轻量的基础镜像

问题2：镜像拉取速度慢

解决方案：

1. 配置镜像加速器
2. 使用本地镜像仓库
3. 预拉取生产环境所需镜像

10. 高级部署场景

10.1 多主机Docker集群

使用Docker Swarm创建集群：

1. 初始化Swarm：

bash复制docker swarm init --advertise-addr <MANAGER-IP>

2. 添加工作节点：

bash复制docker swarm join --token <TOKEN> <MANAGER-IP>:2377

3. 部署服务：

bash复制docker service create --replicas 3 -p 80:80 --name nginx nginx:latest

10.2 CI/CD集成

在Jenkins中集成Docker：

1. 安装Docker插件
2. 配置Docker Cloud
3. 在Pipeline中使用Docker：

groovy复制pipeline {
    agent {
        docker { image 'maven:3.8.1-openjdk-11' }
    }
    stages {
        stage('Build') {
            steps {
                sh 'mvn clean package'
            }
        }
    }
}

10.3 Kubernetes集成

1. 安装kubectl和minikube
2. 启动本地Kubernetes集群：

bash复制minikube start --driver=docker

3. 部署应用到Kubernetes：

bash复制kubectl create deployment nginx --image=nginx
kubectl expose deployment nginx --port=80 --type=LoadBalancer

11. 版本升级与回滚

11.1 Docker版本升级

对于Linux系统：

bash复制sudo apt-get update && sudo apt-get upgrade docker-ce  # Debian/Ubuntu
sudo yum update docker-ce  # CentOS/RHEL

对于Windows/macOS：

1. 下载新版Docker Desktop安装包
2. 运行安装程序覆盖旧版本

11.2 回滚到旧版本

1. 卸载当前版本
2. 下载特定旧版本安装包
3. 安装旧版本

注意：回滚可能导致数据兼容性问题，建议先备份重要数据

12. 备份与恢复策略

12.1 容器备份

1. 提交容器为镜像：

bash复制docker commit <container_id> backup-image

2. 导出容器文件系统：

bash复制docker export <container_id> > container.tar

12.2 数据卷备份

1. 创建备份容器：

bash复制docker run --rm -v my-vol:/volume -v $(pwd):/backup alpine \
    tar cvf /backup/backup.tar /volume

2. 恢复数据卷：

bash复制docker run --rm -v my-vol:/volume -v $(pwd):/backup alpine \
    tar xvf /backup/backup.tar -C /volume --strip 1

12.3 完整系统备份

1. 备份Docker配置：

bash复制sudo tar czvf docker-config-backup.tar.gz /etc/docker

2. 备份镜像：

bash复制docker save -o all-images.tar $(docker images -q)

13. 容器安全加固

13.1 安全扫描

1. 使用Docker Bench Security：

bash复制docker run -it --net host --pid host --userns host --cap-add audit_control \
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
    -v /etc:/etc:ro \
    -v /usr/bin/docker-containerd:/usr/bin/docker-containerd:ro \
    -v /usr/bin/docker-runc:/usr/bin/docker-runc:ro \
    -v /lib/systemd/system:/lib/systemd/system:ro \
    -v /var/lib:/var/lib:ro \
    -v /var/run/docker.sock:/var/run/docker.sock:ro \
    --label docker_bench_security \
    docker/docker-bench-security

2. 使用Trivy扫描镜像漏洞：

bash复制docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
    aquasec/trivy image my-image

13.2 安全配置

1. 启用内容信任：

bash复制export DOCKER_CONTENT_TRUST=1

2. 使用非root用户运行容器：

bash复制docker run -u 1000:1000 my-image

3. 限制容器能力：

bash复制docker run --cap-drop all --cap-add NET_BIND_SERVICE nginx

14. 性能优化技巧

14.1 镜像构建优化

1. 使用多阶段构建：

dockerfile复制FROM maven AS build
WORKDIR /app
COPY . .
RUN mvn package

FROM openjdk:11-jre-slim
COPY --from=build /app/target/app.jar /app.jar
CMD ["java", "-jar", "/app.jar"]

2. 合理利用构建缓存：

• 将不经常变化的指令放在前面
• 合并相关RUN命令减少层数

14.2 运行时优化

1. 限制资源使用：

bash复制docker run -it --cpus="1.5" --memory="1g" my-image

2. 使用更高效的文件系统：

• 推荐overlay2存储驱动
• 对于大量小文件考虑使用zfs或btrfs

3. 优化网络性能：

• 使用host网络模式减少NAT开销
• 考虑macvlan或ipvlan驱动

15. 容器编排进阶

15.1 Docker Swarm高级配置

1. 配置服务更新策略：

bash复制docker service create \
  --name my-web \
  --replicas 3 \
  --update-delay 10s \
  --update-parallelism 2 \
  nginx:latest

2. 设置服务回滚：

bash复制docker service update \
  --rollback \
  my-web

15.2 Kubernetes基础操作

1. 部署应用：

bash复制kubectl create deployment nginx --image=nginx

2. 暴露服务：

bash复制kubectl expose deployment nginx --port=80 --type=LoadBalancer

3. 扩展副本：

bash复制kubectl scale deployment nginx --replicas=3

16. 监控与日志管理

16.1 使用cAdvisor监控容器

1. 运行cAdvisor：

bash复制docker run \
  --volume=/:/rootfs:ro \
  --volume=/var/run:/var/run:ro \
  --volume=/sys:/sys:ro \
  --volume=/var/lib/docker/:/var/lib/docker:ro \
  --volume=/dev/disk/:/dev/disk:ro \
  --publish=8080:8080 \
  --detach=true \
  --name=cadvisor \
  google/cadvisor:latest

2. 访问监控界面：http://localhost:8080

16.2 集中式日志管理

1. 使用ELK栈收集日志：

bash复制docker run -d --name elasticsearch -p 9200:9200 -p 9300:9300 elasticsearch:7.9.3
docker run -d --name kibana --link elasticsearch:elasticsearch -p 5601:5601 kibana:7.9.3
docker run -d --name logstash --link elasticsearch:elasticsearch -v ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf logstash:7.9.3

2. 配置日志驱动：

bash复制docker run --log-driver=syslog --log-opt syslog-address=tcp://<logstash-ip>:5000 nginx

17. 网络配置进阶

17.1 自定义网络配置

1. 创建自定义网络：

bash复制docker network create --driver=bridge --subnet=172.28.0.0/16 --ip-range=172.28.5.0/24 --gateway=172.28.5.254 my-net

2. 指定容器IP：

bash复制docker run --network=my-net --ip=172.28.5.5 nginx

17.2 跨主机网络

1. 使用overlay网络：

bash复制docker network create -d overlay my-overlay

2. 在Swarm模式下使用：

bash复制docker service create --network=my-overlay --name my-service nginx

18. 存储配置进阶

18.1 使用存储驱动

1. 配置overlay2存储驱动（在/etc/docker/daemon.json中）：

json复制{
  "storage-driver": "overlay2",
  "storage-opts": [
    "overlay2.override_kernel_check=true"
  ]
}

2. 重启Docker使配置生效：

bash复制sudo systemctl restart docker

18.2 使用NFS卷

1. 创建NFS卷：

bash复制docker volume create --driver local \
  --opt type=nfs \
  --opt o=addr=<nfs-server-ip>,rw \
  --opt device=:/path/on/nfs \
  nfs-volume

2. 使用NFS卷：

bash复制docker run -it --rm -v nfs-volume:/data alpine sh

19. 多架构镜像支持

19.1 构建多架构镜像

1. 创建构建器实例：

bash复制docker buildx create --name mybuilder --use

2. 构建多平台镜像：

bash复制docker buildx build --platform linux/amd64,linux/arm64 -t my-image:latest --push .

19.2 使用多架构镜像

1. 拉取适合当前架构的镜像：

bash复制docker pull my-image:latest

2. 检查镜像架构：

bash复制docker inspect --format='{{.Architecture}}' my-image:latest

20. 持续集成与交付

20.1 GitHub Actions集成

示例workflow文件：

yaml复制name: CI/CD Pipeline

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2
    - name: Build Docker image
      run: docker build -t my-image .
    - name: Login to Docker Hub
      run: echo "${{ secrets.DOCKER_HUB_TOKEN }}" | docker login -u ${{ secrets.DOCKER_HUB_USERNAME }} --password-stdin
    - name: Push Docker image
      run: |
        docker tag my-image ${{ secrets.DOCKER_HUB_USERNAME }}/my-image:latest
        docker push ${{ secrets.DOCKER_HUB_USERNAME }}/my-image:latest

20.2 GitLab CI集成

示例.gitlab-ci.yml：

yaml复制image: docker:stable

services:
  - docker:dind

variables:
  DOCKER_HOST: tcp://docker:2375
  DOCKER_DRIVER: overlay2

stages:
  - build
  - deploy

build:
  stage: build
  script:
    - docker build -t my-image .
    - echo "$CI_REGISTRY_PASSWORD" | docker login -u "$CI_REGISTRY_USER" --password-stdin "$CI_REGISTRY"
    - docker tag my-image "$CI_REGISTRY_IMAGE:latest"
    - docker push "$CI_REGISTRY_IMAGE:latest"