Docker Cheat Sheet：开发环境Docker配置最佳实践

Docker Cheat Sheet：开发环境Docker配置最佳实践

【免费下载链接】docker-cheat-sheetDocker Cheat Sheet项目地址: https://gitcode.com/gh_mirrors/do/docker-cheat-sheet

Docker Cheat Sheet 是一份全面的 Docker 开发环境配置指南，帮助开发者快速掌握容器化技术的核心操作与最佳实践。通过这份指南，你将学习如何高效使用 Docker 构建、部署和管理应用，提升开发效率并确保环境一致性。

为什么选择 Docker？

"使用 Docker，开发者可以使用任何工具链以任何语言构建任何应用。'Docker 化'的应用完全可移植，可在任何地方运行——同事的 OS X 和 Windows 笔记本电脑、云中运行 Ubuntu 的 QA 服务器以及运行 Red Hat 的生产数据中心 VM。"

开发者可以从 Docker Hub 上提供的 13,000 多个应用程序中选择一个开始，快速上手。Docker 管理和跟踪更改及依赖关系，使系统管理员更容易理解开发人员构建的应用程序的工作方式。通过 Docker Hub，开发人员可以自动化其构建管道，并通过公共或私有存储库与协作者共享工件。

系统要求与安装指南

系统要求

• Linux：3.10.x 内核是 Docker 的最低要求
• macOS：10.8 "Mountain Lion" 或更高版本
• Windows 10：必须在 BIOS 中启用 Hyper-V，Intel 处理器还需启用 VT-D
• Windows Server：Windows Server 2016 是最低版本要求，推荐使用 Windows Server 2019 及更高版本

安装步骤

Linux 安装

运行 Docker 提供的快速安装脚本：

curl -sSL https://get.docker.com/ | sh

macOS 安装

如果你使用 Homebrew-Cask，只需输入brew install --cask docker。或者下载并安装 Docker Community Edition。安装完成后，点击启动台中的 docker 图标，然后启动容器：

docker run hello-world

Windows 安装

Windows 10 用户可参考 Docker Desktop for Windows 安装指南。安装完成后，以管理员身份打开 powershell 并运行：

# 显示已安装的 docker 版本： docker version # 拉取、创建并运行 'hello-world'： docker run hello-world

检查 Docker 版本

了解当前运行的 Docker 版本非常重要，这有助于了解哪些功能与你运行的版本兼容：

$ docker version --format '{{.Server.Version}}' 1.8.0

容器基本操作

容器是 Docker 的基本隔离单元，可以将其视为轻量级的虚拟机。以下是容器的核心操作：

容器生命周期

• docker create：创建容器但不启动它
• docker run：创建并启动容器
• docker start/docker stop：启动/停止容器
• docker rm：删除容器

通常，如果运行容器时没有选项，它会立即启动并停止。如果希望保持容器运行，可以使用命令docker run -td container_id，其中-t选项会分配一个伪 TTY 会话，-d选项会自动分离容器（在后台运行容器并打印容器 ID）。

如果你需要一个临时容器，可以使用docker run --rm，它会在容器停止后自动删除容器。

容器资源限制

你可以限制容器的 CPU 和内存使用，以确保系统资源的合理分配：

CPU 限制

# 限制 CPU 使用率为 50% docker run -it -c 512 agileek/cpuset-test # 仅使用特定 CPU 核心 docker run -it --cpuset-cpus=0,4,6 agileek/cpuset-test

内存限制

# 限制内存使用为 300M docker run -it -m 300M ubuntu:14.04 /bin/bash

容器信息查看

• docker ps：显示运行中的容器
• docker logs：获取容器日志
• docker inspect：查看容器详细信息（包括 IP 地址）
• docker port：显示容器的公共端口
• docker top：显示容器中运行的进程
• docker stats：显示容器的资源使用统计信息

使用docker ps -a可以显示所有运行中和已停止的容器。要查看所有容器的资源使用情况，可以使用docker stats --all。

容器网络配置

Docker 提供了强大的网络功能，允许容器之间以及容器与外部世界之间进行通信。Docker 安装后会自动创建三个网络接口：bridge、host 和 none。默认情况下，新容器会启动到 bridge 网络中。

网络操作

• docker network create：创建新网络
• docker network rm：删除网络
• docker network ls：列出网络
• docker network inspect：查看网络详细信息
• docker network connect：将容器连接到网络
• docker network disconnect：将容器与网络断开连接

你可以为容器指定特定的 IP 地址：

# 创建一个具有子网和网关的新桥接网络 docker network create --subnet 203.0.113.0/24 --gateway 203.0.113.254 iptastic # 使用该网络中特定的 IP 运行 nginx 容器 docker run --rm -it --net iptastic --ip 203.0.113.2 nginx

数据持久化与卷管理

Docker 卷是独立的文件系统，可以在容器之间共享和重用。它们不需要连接到特定的容器，非常适合存储需要持久化的数据。

卷操作

• docker volume create：创建卷
• docker volume rm：删除卷
• docker volume ls：列出卷
• docker volume inspect：查看卷详细信息

你可以将主机目录挂载为 Docker 卷：

docker run -v /Users/wsargent/myapp/src:/src

卷还可以用于在多个容器之间共享数据。例如，你可以使用docker run --volumes-from命令将一个容器的卷挂载到另一个容器中。

图：Docker 提交更改界面，展示了如何在 Markdown 中编辑文档并创建拉取请求

镜像管理

镜像是 Docker 容器的模板。了解如何管理镜像是使用 Docker 的基础。

镜像生命周期

• docker images：显示所有镜像
• docker build：从 Dockerfile 创建镜像
• docker pull：从仓库拉取镜像
• docker push：将镜像推送到仓库
• docker rmi：删除镜像

镜像导入/导出

# 从文件加载镜像 docker load < my_image.tar.gz # 保存现有镜像 docker save my_image:my_tag | gzip > my_image.tar.gz

镜像清理

随着时间的推移，系统中可能会积累大量未使用的镜像。你可以使用以下命令清理它们：

# 删除悬空镜像 docker rmi $(docker images -q -f dangling=true) # 删除所有镜像 docker rmi $(docker images -q)

Dockerfile 最佳实践

Dockerfile 是用于构建 Docker 镜像的配置文件。编写高效的 Dockerfile 可以显著提高镜像质量和构建速度。

常用指令

• FROM：设置基础镜像
• RUN：执行命令并提交结果
• CMD：为执行容器提供默认值
• EXPOSE：声明容器在运行时监听的端口
• ENV：设置环境变量
• COPY：复制文件或目录到容器
• WORKDIR：设置工作目录
• USER：设置运行后续命令的用户

优化技巧

1. 合并 RUN 指令：将多个 RUN 指令合并为一个，以减少镜像层数

   RUN {apt commands} \ && apt-get clean \ && rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/*

2. 使用 .dockerignore 文件：排除不需要的文件，减小镜像大小

3. 选择合适的基础镜像：使用 Alpine 等轻量级基础镜像可以显著减小镜像大小

4. 设置适当的用户：避免使用 root 用户运行容器，提高安全性

   RUN groupadd -r user && useradd -r -g user user USER user

Docker Compose 应用编排

Docker Compose 是用于定义和运行多容器 Docker 应用程序的工具。使用 YAML 文件配置应用程序的服务，然后使用单个命令创建和启动所有服务。

基本使用

# 启动应用 docker-compose -f <docker-compose-file> up # 后台运行 docker-compose -f <docker-compose-file> up -d # 停止服务 docker-compose stop # 停止并删除容器、网络 docker-compose down

图：Docker 创建拉取请求界面，展示了如何提交更改并创建拉取请求

安全最佳实践

Docker 安全是生产环境中必须考虑的重要因素。以下是一些基本的安全最佳实践：

1. 使用非 root 用户：在 Dockerfile 中创建并使用普通用户

2. 限制容器权限：使用--read-only选项使容器文件系统只读

   docker run --read-only

3. 设置资源限制：限制容器的 CPU、内存和 PID 数量

   docker run --pids-limit=64 --memory=512m

4. 使用安全选项：防止进程获取新权限

   docker run --security-opt=no-new-privileges

5. 验证镜像：使用哈希值验证镜像完整性

   docker pull debian@sha256:a25306f3850e1bd44541976aa7b5fd0a29be

实用技巧与故障排除

容器资源监控

# 检查单个容器的资源使用情况 docker stats <container> # 检查所有容器的资源使用情况 docker stats $(docker ps -q)

清理命令

# 删除所有运行中的容器 docker kill $(docker ps -q) # 删除所有容器（强制删除运行中或已停止的容器） docker rm -f $(docker ps -qa) # 删除停止的容器 docker rm -v $(docker ps -a -q -f status=exited) # 删除悬空卷 docker volume rm $(docker volume ls -q -f dangling=true)

获取容器 IP 地址

docker inspect -f '{{ .NetworkSettings.IPAddress }}' <container_name>

查看端口映射

docker inspect -f '{{range $p, $conf := .NetworkSettings.Ports}} {{$p}} -> {{(index $conf 0).HostPort}} {{end}}' <containername>

通过掌握这些 Docker 核心概念和操作技巧，你将能够构建高效、安全的容器化应用。无论是开发环境配置还是生产部署，Docker Cheat Sheet 都能为你提供实用的指导和最佳实践。开始你的 Docker 之旅吧！

【免费下载链接】docker-cheat-sheetDocker Cheat Sheet项目地址: https://gitcode.com/gh_mirrors/do/docker-cheat-sheet