RHEL 9 环境下 Docker 部署与优化指南

1. RHEL 9 环境下 Docker 快速部署指南

作为企业级 Linux 发行版，RHEL 9 提供了稳定可靠的容器运行环境。本文将详细介绍在 RHEL 9 系统上快速部署 Docker 的完整流程，包含从软件源配置到实际应用的各个环节。

提示：本文所有操作均需 root 权限执行，建议先通过 sudo -i 切换至 root 用户。

1.1 配置 Docker CE 软件仓库

RHEL 9 默认不包含 Docker 官方源，我们需要手动配置阿里云镜像源：

bash复制cat > /etc/yum.repos.d/docker.repo << EOF
[docker]
name = docker
baseurl = https://mirrors.aliyun.com/docker-ce/linux/rhel/9.6/x86_64/stable/
gpgcheck = 0
EOF

执行以下命令更新软件缓存：

bash复制dnf makecache

常见问题处理：

1. 若出现"未注册订阅"警告可忽略，不影响 Docker 安装
2. 网络问题可能导致缓存更新失败，可尝试更换其他镜像源

1.2 Docker 核心组件安装

搜索可用 Docker 软件包：

bash复制dnf search docker

安装 Docker 社区版核心组件：

bash复制dnf install docker-ce docker-ce-cli containerd.io -y

关键组件说明：

• docker-ce: Docker 社区版引擎
• docker-ce-cli: Docker 命令行工具
• containerd.io: 容器运行时

2. Docker 服务配置与优化

2.1 基础服务配置

启用并启动 Docker 服务：

bash复制systemctl enable --now docker

验证安装：

bash复制docker version

2.2 网络与存储优化

配置内核参数以支持容器网络：

bash复制echo br_netfilter > /etc/modules-load.d/docker_mod.conf
modprobe br_netfilter

cat > /etc/sysctl.d/docker.conf <<EOF
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.ipv4.ip_forward = 1
EOF

sysctl --system

参数说明：

• br_netfilter: 启用网桥过滤
• ip_forward: 允许 IP 转发
• bridge-nf-call: 使 iptables 规则对网桥有效

2.3 镜像加速配置

创建或修改 Docker 守护进程配置：

bash复制mkdir -p /etc/docker
cat > /etc/docker/daemon.json <<EOF
{
    "registry-mirrors": ["https://docker.1ms.run"]
}
EOF

systemctl restart docker

验证加速器配置：

bash复制docker info | grep -A 5 "Registry Mirrors"

3. Docker 核心操作命令详解

3.1 镜像管理

镜像搜索与获取

bash复制docker search nginx  # 搜索镜像
docker pull nginx:1.23  # 拉取指定版本

本地镜像管理

bash复制docker images  # 查看本地镜像
docker rmi nginx:1.23  # 删除镜像
docker save nginx:1.23 > nginx.tar  # 导出镜像
docker load < nginx.tar  # 导入镜像

镜像历史查看

bash复制docker history nginx:1.23

3.2 容器生命周期管理

容器启停操作

bash复制docker run -d --name web nginx:1.23  # 后台运行
docker stop web  # 停止容器
docker start web  # 启动已停止容器
docker restart web  # 重启容器

交互式容器操作

bash复制docker run -it --rm busybox sh  # 临时交互容器

退出方式：

• exit: 退出并停止容器
• Ctrl+P, Ctrl+Q: 退出但保持运行

容器信息查看

bash复制docker ps  # 运行中容器
docker ps -a  # 所有容器
docker inspect web  # 详细配置

3.3 容器内操作

执行命令

bash复制docker exec web ls /etc/nginx  # 非交互式
docker exec -it web bash  # 交互式

文件操作

bash复制docker cp web:/etc/nginx/nginx.conf ./  # 从容器复制文件
docker cp ./index.html web:/usr/share/nginx/html/  # 向容器复制文件

4. 容器网络配置实战

4.1 端口映射基础

将容器端口映射到主机：

bash复制docker run -d -p 8080:80 --name web nginx:1.23

参数说明：

• -p 主机端口:容器端口: 端口映射
• -P: 自动分配主机端口

4.2 自定义网络配置

创建自定义桥接网络：

bash复制docker network create my_net --subnet 172.18.0.0/16

使用自定义网络启动容器：

bash复制docker run -d --network my_net --name web1 nginx:1.23
docker run -it --network my_net --name client busybox

验证网络连通性：

bash复制ping web1  # 在 client 容器中执行

4.3 跨容器通信方案

容器网络互联

bash复制docker network connect my_net existing_container

共享网络命名空间

bash复制docker run -d --name web nginx:1.23
docker run -it --network container:web busybox

5. 数据持久化方案

5.1 Bind Mount 方式

主机目录直接挂载：

bash复制docker run -d -v /host/path:/container/path nginx:1.23

5.2 Docker 管理卷

自动创建数据卷：

bash复制docker run -d -v /container/path nginx:1.23

查看数据卷信息：

bash复制docker volume ls
docker inspect <volume_name>

5.3 数据卷容器模式

创建专用数据卷容器：

bash复制docker create -v /data --name data_container busybox

其他容器挂载使用：

bash复制docker run --volumes-from data_container nginx:1.23

6. 镜像构建与优化

6.1 Dockerfile 基础

示例 Dockerfile：

dockerfile复制FROM nginx:1.23
LABEL maintainer="your@email.com"
COPY index.html /usr/share/nginx/html/
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]

构建命令：

bash复制docker build -t my_nginx .

6.2 多阶段构建优化

dockerfile复制FROM golang:1.18 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp .

FROM alpine:latest  
COPY --from=builder /app/myapp /usr/local/bin/
CMD ["myapp"]

6.3 镜像瘦身技巧

1. 选择精简基础镜像（如 alpine）
2. 合并 RUN 指令减少层数
3. 清理构建缓存和临时文件
4. 使用 .dockerignore 排除无关文件

7. 私有仓库部署

7.1 基础 Registry 部署

快速启动本地仓库：

bash复制docker run -d -p 5000:5000 --restart=always --name registry registry:2

推送镜像到私有仓库：

bash复制docker tag nginx:1.23 localhost:5000/my_nginx
docker push localhost:5000/my_nginx

7.2 Harbor 企业级仓库

Harbor 安装准备：

bash复制wget https://github.com/goharbor/harbor/releases/download/v2.5.0/harbor-offline-installer-v2.5.0.tgz
tar xvf harbor-offline-installer-v2.5.0.tgz
cd harbor

配置 harbor.yml 后安装：

bash复制./install.sh

8. 安全加固建议

8.1 基础安全措施

1. 启用用户命名空间隔离
2. 限制容器能力（--cap-drop）
3. 设置只读文件系统（--read-only）
4. 使用非 root 用户运行容器

8.2 资源限制配置

内存限制示例：

bash复制docker run -d --memory=512m --memory-swap=1g nginx:1.23

CPU 限制示例：

bash复制docker run -d --cpus=1.5 nginx:1.23

9. 常见问题排查

9.1 容器启动失败

检查日志：

bash复制docker logs <container_id>

进入退出状态容器：

bash复制docker run -it --entrypoint sh <image> -c "exit 1"
docker commit <container_id> debug-image
docker run -it debug-image sh

9.2 网络连接问题

检查容器网络：

bash复制docker exec <container> ip a
docker exec <container> ping <target>

检查 iptables 规则：

bash复制iptables -L -n -v --line-numbers

9.3 存储卷问题

检查挂载点：

bash复制docker inspect <container> | grep -A 10 Mounts

验证权限：

bash复制docker exec <container> ls -l /path

10. 生产环境最佳实践

1. 使用编排工具（如 Kubernetes 或 Docker Swarm）
2. 实现 CI/CD 流水线自动化构建部署
3. 建立完善的监控告警系统
4. 定期备份重要数据卷
5. 保持 Docker 和主机系统更新

通过以上步骤，您可以在 RHEL 9 系统上快速搭建并熟练使用 Docker 容器环境。实际生产部署时，请根据具体业务需求调整配置参数和安全策略。