Docker实战指南：从安装到架构解析

一、Docker 安装指南

Ubuntu/Debian 系统安装

# 卸载旧版本
sudo apt-get remove docker docker-engine docker.io containerd runc# 安装依赖
sudo apt-get update
sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release# 添加 Docker GPG 密钥
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg# 设置稳定版仓库
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null# 安装 Docker Engine
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io# 验证安装
sudo docker run hello-world

安装后配置

# 将当前用户加入 docker 组（避免每次使用 sudo）
sudo usermod -aG docker $USER# 重启 Docker 服务
sudo systemctl restart docker# 配置镜像加速器（国内用户）
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{"registry-mirrors": ["https://your-mirror.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker

🏗️ 二、Docker 架构深度解析

Docker CLI
(客户端)

→

Docker Daemon
(服务器)

→

Containerd

→

RunC

核心组件详解

• Docker Daemon (dockerd)：常驻后台进程，管理 Docker 对象
• Docker Client (docker)：用户与 Docker 交互的主要接口
• Containerd：行业标准的容器运行时
• RunC：轻量级容器运行时

🔍 三、Docker 内部原理深度剖析

命名空间（Namespaces）隔离

# 查看容器的命名空间
docker inspect --format '{{.State.Pid}}' <container_id>
ls -l /proc/<pid>/ns/

控制组（Cgroups）资源限制

# 查看容器的 Cgroups 配置
cat /sys/fs/cgroup/memory/docker/<container_id>/memory.limit_in_bytes
cat /sys/fs/cgroup/cpu/docker/<container_id>/cpu.shares

联合文件系统（UnionFS）

# 查看镜像分层信息
docker history nginx:latest

🚀 四、Docker 核心工作流程

镜像构建流程

# Dockerfile 示例
FROM ubuntu:20.04
RUN apt-get update && apt-get install -y nginx
COPY index.html /var/www/html/
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]

容器启动流程

复制

docker run -d --name web -p 80:80 nginx:latest

🔧 五、高级特性与最佳实践

Docker Compose 多容器管理

# docker-compose.yml 示例
version: '3.8'
services:web:image: nginx:latestports:- "80:80"volumes:- ./html:/usr/share/nginx/htmldb:image: postgres:13environment:POSTGRES_PASSWORD: example

安全最佳实践

# 使用非root用户运行
FROM node:16
RUN useradd -m appuser
USER appuser
WORKDIR /home/appuser
COPY --chown=appuser:appuser . .
CMD ["node", "app.js"]

📊 六、性能监控与调试

容器监控命令

# 查看容器资源使用
docker stats# 查看容器详细配置
docker inspect <container_id># 查看容器日志
docker logs -f <container_id># 性能分析
docker exec <container_id> top

资源限制配置

# 运行带资源限制的容器
docker run -d \--name limited-container \--memory="512m" \--cpus="1.5" \--blkio-weight="500" \nginx:latest