Docker容器原理与微服务部署全景手册

第一部分：Docker容器原理详解

1. Docker解决的核心问题

Docker旨在解决经典的“环境不一致”问题：

“我的机器上能跑，为什么你的机器上不行？”

它通过容器技术，将应用及其依赖（库、系统工具、运行时、配置）打包到一个标准化单元中，实现环境一致性和高可移植性。

2. 容器 vs 虚拟机

比喻：

• 虚拟机 → 独栋别墅（完整设施和独立地基）
• 容器 → 公寓套房（共享地基、独立房间）

3. Docker核心技术

3.1 Namespaces（命名空间） — 隔离

隔离容器资源，使容器看起来像独立系统：

• PID Namespace：进程隔离，容器内PID从1开始
• Net Namespace：独立网络设备、IP、端口
• IPC Namespace：进程间通信隔离
• Mount Namespace：独立文件系统视图
• UTS Namespace：独立主机名和域名
• User Namespace：用户UID/GID隔离

3.2 Cgroups（控制组） — 资源限制

限制容器的资源使用，避免单个容器耗尽宿主机资源：

• CPU 时间片分配
• 内存/Swap限制
• 磁盘 I/O 带宽
• 设备访问控制

3.3 Union File System（联合文件系统） — 分层镜像

• 镜像由只读层组成，每层对应Dockerfile指令
• 容器启动时增加可写层，采用Copy-on-Write策略
• 多镜像共享底层层，节省存储和构建时间

3.4 容器运行时

• 管理容器生命周期
• Docker原先使用runc，现基于OCI标准的containerd

4. Docker架构简述

1. Docker Daemon：管理镜像、容器、网络、存储
2. Docker Client：CLI工具，通过REST API调用Daemon
3. Docker Registry：存储镜像（Docker Hub或私有Harbor）
4. Docker Images：只读模板，包含应用及依赖
5. Docker Containers：镜像运行实例，可读写

5. 网络、数据与安全补充

网络模式：

• bridge：默认，容器间桥接通信
• host：使用宿主机网络，性能高，隔离弱
• overlay：跨宿主机网络
• macvlan：容器直接拥有MAC地址

数据管理：

• Volumes：持久化存储，可跨容器共享
• Bind Mounts：宿主机目录挂载
• tmpfs：内存挂载，重启即丢失

安全增强：

• 避免root用户运行
• 限制容器权限 (--cap-drop, --security-opt no-new-privileges)
• 镜像漏洞扫描（Trivy, Grype）

第二部分：Docker微服务部署详解

1. 为什么Docker适合微服务

2. 开发环境部署示例

假设应用由user-service和order-service组成。

2.1 创建Dockerfile

user-service/Dockerfile：

FROM maven:3.8.5-openjdk-17 AS builder
WORKDIR /app
COPY pom.xml .
COPY src ./src
RUN mvn package -DskipTests

FROM openjdk:17-jdk-slim
WORKDIR /app
COPY --from=builder /app/target/user-service-*.jar /app/user-service.jar
EXPOSE 8080
ENTRYPOINT ["java", "-jar", "/app/user-service.jar"]

2.2 构建镜像

docker build -t user-service:latest ./user-service
docker build -t order-service:latest ./order-service

2.3 Docker Compose编排

version: '3.8'
services:
  user-service:
    image: user-service:latest
    ports: ["8081:8080"]
    networks:
      - my-network

  order-service:
    image: order-service:latest
    ports: ["8082:8080"]
    networks:
      - my-network

networks:
  my-network:
    driver: bridge

2.4 启动服务

docker-compose up -d

3. 生产环境部署最佳实践

1. 编排工具：

• Kubernetes：自动扩缩容、负载均衡、服务发现
• Docker Swarm：简单易用
• 云托管：ECS / ACI

2. 镜像管理：私有Registry（Harbor, AWS ECR）
3. 日志与监控：

• 日志：统一输出到stdout/stderr，由收集系统处理
• 监控：Prometheus + Grafana + cAdvisor

4. 安全策略：

• 镜像漏洞扫描
• 避免root运行
• 密钥管理（Vault）

4. 服务间通信与配置

• 使用服务名或DNS进行容器间通信
• 高流量可用服务网格（Istio/Linkerd）
• 配置管理推荐使用.env文件或配置中心（K8s ConfigMap/Secret, Consul, Spring Cloud Config）

5. CI/CD集成与调试技巧

• 镜像可直接集成到流水线：构建 → 测试 → 推送 → 部署
• 容器调试：
• docker exec -it <container> /bin/bash
• docker logs -f <container>
• docker stats 查看资源使用

6. 进阶性能优化

• 避免容器内不必要的守护进程
• 合理设置CPU/内存限制
• 镜像尽量只包含运行时依赖

7. Docker与Kubernetes关系

• Kubernetes通过容器运行时（containerd/cri-o）运行容器
• Docker镜像符合OCI标准，可无缝部署到K8s

总结

1. Docker原理：

• Namespace：隔离
• Cgroups：限制资源
• UnionFS：分层镜像

2. 微服务部署：

• Docker提供独立、一致、可移植环境
• 开发阶段：Dockerfile + Docker Compose
• 生产环境：Kubernetes / Swarm / 云服务
• 日志、监控、安全、CI/CD全链路管理

这份手册涵盖了从原理到实战、从开发到生产、从基础到进阶优化的完整体系。