引言

容器技术已成为现代IT基础设施的核心组成部分,它为应用程序的开发、部署和运行提供了一种轻量级、可移植且高效的方法。AlmaLinux作为一款稳定、可靠的企业级操作系统,与Docker容器技术的结合能够为企业提供强大的应用部署和管理能力。本文将详细介绍在AlmaLinux操作系统上安装和配置Docker容器的全过程,从基础概念到高级应用,帮助读者全面掌握容器技术,打造高效稳定的应用部署环境,简化开发运维流程。

1. AlmaLinux系统简介

AlmaLinux是一个开源的、社区拥有的企业级操作系统,它作为CentOS的替代品而创建,旨在与RHEL(Red Hat Enterprise Linux)二进制兼容。AlmaLinux由CloudLinux公司发起,并由社区维护,提供了长期支持(LTS)和稳定的安全更新。

1.1 AlmaLinux的主要特点

  • 稳定性:基于RHEL源代码,提供企业级的稳定性
  • 安全性:定期的安全更新和补丁
  • 长期支持:提供长期的支持周期
  • 兼容性:与RHEL完全二进制兼容
  • 社区驱动:由社区拥有和管理,确保透明度和可持续性

1.2 系统要求

在安装Docker之前,确保您的AlmaLinux系统满足以下基本要求:

  • 64位架构的AlmaLinux系统(版本8或更高)
  • 至少2GB的RAM(推荐4GB或更多)
  • 足够的磁盘空间(至少20GB)
  • 具有sudo权限的用户账户
  • 稳定的网络连接

2. Docker容器技术基础

Docker是一个开源的容器化平台,它允许开发者将应用程序及其依赖项打包到一个可移植的容器中,然后发布到任何支持Docker的平台上运行。

2.1 容器与虚拟机的区别

容器和虚拟机都是虚拟化技术,但它们的工作方式有本质区别:

  • 虚拟机(VM):通过Hypervisor在物理硬件上模拟完整的操作系统,每个虚拟机都有自己的内核、操作系统和应用程序。
  • 容器:共享主机操作系统的内核,但在用户空间中运行隔离的进程。容器更加轻量级,启动更快,资源利用率更高。

2.2 Docker的核心组件

  • Docker Engine:Docker的核心运行时环境,负责创建和管理容器。
  • Docker镜像:一个只读的模板,用于创建容器。
  • Docker容器:镜像的运行实例,包含应用程序及其运行环境。
  • Docker Registry:存储和分发Docker镜像的服务,如Docker Hub。
  • Docker Compose:用于定义和运行多容器Docker应用程序的工具。
  • Docker Swarm:Docker的原生集群和编排工具。

2.3 Docker的优势

  • 轻量级:容器共享主机内核,资源占用少。
  • 快速启动:容器可以在几秒钟内启动,而虚拟机通常需要几分钟。
  • 可移植性:容器可以在任何支持Docker的环境中运行,确保开发、测试和生产环境的一致性。
  • 版本控制:可以对镜像进行版本控制,便于回滚和更新。
  • 微服务架构:支持将应用程序拆分为多个微服务,每个服务运行在独立的容器中。
  • 资源隔离:提供进程、网络和文件系统的隔离。

3. 在AlmaLinux上安装Docker

在AlmaLinux上安装Docker有多种方法,包括使用官方仓库、手动安装和使用脚本。这里我们将介绍最常用的方法。

3.1 系统准备

在安装Docker之前,首先更新系统并安装必要的软件包:

# 更新系统 sudo dnf update -y # 安装必要的软件包 sudo dnf install -y dnf-utils device-mapper-persistent-data lvm2 # 卸载旧版本的Docker(如果已安装) sudo dnf remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine

3.2 添加Docker仓库

添加Docker官方仓库到AlmaLinux系统:

# 添加Docker CE仓库 sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo # 验证仓库是否添加成功 sudo dnf list docker-ce

3.3 安装Docker Engine

安装Docker Engine及其相关组件:

# 安装Docker Engine、CLI和Containerd sudo dnf install -y docker-ce docker-ce-cli containerd.io # 或者安装特定版本的Docker # 首先列出可用的Docker版本 sudo dnf list docker-ce --showduplicates | sort -r # 安装特定版本(例如:20.10.7) sudo dnf install -y docker-ce-20.10.7 docker-ce-cli-20.10.7 containerd.io

3.4 启动Docker服务

安装完成后,启动Docker服务并设置开机自启:

# 启动Docker服务 sudo systemctl start docker # 设置Docker服务开机自启 sudo systemctl enable docker # 验证Docker是否正常运行 sudo docker run hello-world

如果看到”Hello from Docker!“的输出,表示Docker已成功安装并运行。

3.5 将用户添加到docker组

为了避免每次使用Docker命令时都需要sudo,可以将当前用户添加到docker组:

# 将当前用户添加到docker组 sudo usermod -aG docker $USER # 刷新用户组(需要重新登录或运行以下命令) newgrp docker # 验证是否可以不使用sudo运行docker命令 docker run hello-world

4. Docker基本配置

安装完成后,我们需要对Docker进行一些基本配置,以便更好地使用和管理容器。

4.1 配置Docker镜像加速器

由于网络原因,直接从Docker Hub拉取镜像可能会很慢。我们可以配置镜像加速器来提高下载速度。

# 创建或编辑Docker配置文件 sudo mkdir -p /etc/docker sudo tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": [ "https://dockerhub.azk8s.cn", "https://reg-mirror.qiniu.com", "https://hub-mirror.c.163.com" ] } EOF # 重启Docker服务 sudo systemctl restart docker # 验证配置是否生效 sudo docker info | grep -A 10 "Registry Mirrors"

4.2 配置Docker日志

Docker容器的日志可能会占用大量磁盘空间,我们可以配置日志轮转策略来限制日志大小。

# 编辑Docker配置文件 sudo tee /etc/docker/daemon.json <<-'EOF' { "log-driver": "json-file", "log-opts": { "max-size": "10m", "max-file": "3" } } EOF # 重启Docker服务 sudo systemctl restart docker

4.3 配置Docker存储驱动

Docker支持多种存储驱动,如overlay2、devicemapper等。overlay2是推荐的存储驱动,因为它性能更好且更稳定。

# 查看当前使用的存储驱动 docker info | grep "Storage Driver" # 如果不是overlay2,可以修改配置 sudo tee /etc/docker/daemon.json <<-'EOF' { "storage-driver": "overlay2" } EOF # 重启Docker服务 sudo systemctl restart docker

4.4 配置Docker数据目录

默认情况下,Docker将数据存储在/var/lib/docker目录下。如果需要更改数据目录,可以按照以下步骤操作:

# 停止Docker服务 sudo systemctl stop docker # 创建新的数据目录 sudo mkdir -p /data/docker # 编辑Docker服务配置文件 sudo mkdir -p /etc/systemd/system/docker.service.d sudo tee /etc/systemd/system/docker.service.d/docker.conf <<-'EOF' [Service] ExecStart= ExecStart=/usr/bin/dockerd --data-root=/data/docker EOF # 重新加载systemd配置 sudo systemctl daemon-reload # 启动Docker服务 sudo systemctl start docker # 验证数据目录是否已更改 docker info | grep "Docker Root Dir"

5. Docker网络配置

Docker提供了多种网络模式,允许容器之间以及容器与外部网络之间进行通信。

5.1 Docker网络模式

Docker支持以下网络模式:

  • bridge:默认模式,容器连接到Docker创建的虚拟网桥docker0。
  • host:容器使用主机的网络命名空间,与主机共享网络。
  • none:容器没有网络接口,只有回环地址。
  • container:容器与另一个容器共享网络命名空间。
  • overlay:用于Docker Swarm集群中的容器通信。
  • macvlan:为容器分配MAC地址,使其在物理网络上显示为物理设备。

5.2 创建自定义网络

除了默认网络,我们还可以创建自定义网络:

# 创建一个bridge类型的自定义网络 docker network create --driver bridge my-network # 创建一个指定子网和网关的自定义网络 docker network create --driver bridge --subnet=192.168.100.0/24 --gateway=192.168.100.1 my-subnet-network # 查看网络列表 docker network ls # 查看网络详情 docker network inspect my-network

5.3 连接容器到网络

# 运行容器并连接到自定义网络 docker run -d --name my-container --network my-network nginx # 将已运行的容器连接到网络 docker run -d --name another-container nginx docker network connect my-network another-container # 断开容器与网络的连接 docker network disconnect my-network another-container

5.4 端口映射

端口映射允许外部网络访问容器内的服务:

# 将主机的8080端口映射到容器的80端口 docker run -d -p 8080:80 --name web-server nginx # 将主机的随机端口映射到容器的80端口 docker run -d -p 80 --name web-server-random nginx # 查看端口映射 docker port web-server

5.5 高级网络配置

# 创建一个macvlan网络 docker network create -d macvlan --subnet=192.168.1.0/24 --gateway=192.168.1.1 -o parent=eth0 my-macvlan-network # 创建一个overlay网络(用于Swarm集群) docker network create --driver overlay --attachable my-overlay-network

6. Docker存储配置

Docker提供了多种存储选项,用于持久化容器数据。

6.1 Docker存储类型

  • Volumes:由Docker管理的存储,存储在主机文件系统中(通常是/var/lib/docker/volumes/)。
  • Bind mounts:将主机上的任意目录或文件挂载到容器中。
  • tmpfs mounts:将数据存储在主机内存中,当容器停止时数据会被删除。

6.2 使用Volumes

# 创建一个volume docker volume create my-volume # 查看volume列表 docker volume ls # 查看volume详情 docker volume inspect my-volume # 运行容器并挂载volume docker run -d -v my-volume:/app/data --name volume-test nginx # 删除volume(需要先停止并删除使用该volume的容器) docker volume rm my-volume

6.3 使用Bind mounts

# 运行容器并挂载主机目录 docker run -d -v /host/path:/container/path --name bind-mount-test nginx # 以只读方式挂载 docker run -d -v /host/path:/container/path:ro --name bind-mount-ro-test nginx # 挂载单个文件 docker run -d -v /host/file.txt:/container/file.txt --name bind-file-test nginx

6.4 使用tmpfs mounts

# 运行容器并挂载tmpfs docker run -d --tmpfs /container/path --name tmpfs-test nginx # 指定tmpfs的大小和权限 docker run -d --tmpfs /container/path:rw,size=100m,uid=1000,gid=1000 --name tmpfs-options-test nginx

6.5 数据卷容器

数据卷容器是一种专门用于提供和管理数据卷的容器:

# 创建数据卷容器 docker create -v /data --name data-container alpine /bin/true # 使用数据卷容器 docker run -d --volumes-from data-container --name app-container nginx # 备份数据卷 docker run --rm --volumes-from data-container -v $(pwd):/backup alpine tar cvf /backup/backup.tar /data # 从备份恢复数据 docker run --rm --volumes-from data-container -v $(pwd):/backup alpine tar xvf /backup/backup.tar

7. Docker安全配置

安全是企业环境中使用Docker时需要特别关注的问题。以下是一些增强Docker安全性的配置。

7.1 使用非root用户运行容器

默认情况下,容器内的进程以root用户运行。为了提高安全性,应该使用非root用户:

# 在Dockerfile中创建非root用户 FROM alpine RUN addgroup -g 1000 -S appgroup && adduser -u 1000 -S appuser -G appgroup USER appuser # 或者使用--user参数运行容器 docker run -d --user 1000:1000 --name non-root-container nginx

7.2 限制容器能力

Linux能力(capabilities)是一组细粒度的权限,可以限制容器的权限:

# 运行容器并限制能力 docker run -d --cap-drop ALL --cap-add CHOWN --name limited-capabilities nginx # 查看容器的能力 docker inspect --format='{{.HostConfig.CapAdd}} {{.HostConfig.CapDrop}}' limited-capabilities

7.3 使用只读根文件系统

# 运行容器并设置只读根文件系统 docker run -d --read-only --name read-only-container nginx # 对于需要写入的目录,可以挂载tmpfs docker run -d --read-only --tmpfs /tmp --tmpfs /run --tmpfs /var/lock --name read-only-with-tmpfs nginx

7.4 资源限制

# 限制容器内存使用 docker run -d -m 512m --name memory-limited-container nginx # 限制容器CPU使用 docker run -d --cpus=1.5 --name cpu-limited-container nginx # 限制容器可以使用的CPU核心 docker run -d --cpuset-cpus=0,1 --name cpuset-limited-container nginx

7.5 安全选项

# 启用安全选项 docker run -d --security-opt=no-new-privileges --security-opt=seccomp=/path/to/seccomp/profile.json --name security-options-container nginx # 启用AppArmor配置文件 docker run -d --security-opt=apparmor=docker-default --name apparmor-container nginx

7.6 使用Docker Content Trust

Docker Content Trust(DCT)提供镜像签名和验证功能,确保只使用经过验证的镜像:

# 启用Docker Content Trust export DOCKER_CONTENT_TRUST=1 # 现在拉取镜像时会验证签名 docker pull alpine # 签名镜像 docker trust sign my-repo/my-image:my-tag

8. Docker Compose使用

Docker Compose是一个用于定义和运行多容器Docker应用程序的工具。通过Compose,您可以使用YAML文件来配置应用程序的服务,然后使用一个命令创建并启动所有服务。

8.1 安装Docker Compose

# 下载Docker Compose二进制文件 sudo curl -L "https://github.com/docker/compose/releases/download/v2.3.3/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose # 添加执行权限 sudo chmod +x /usr/local/bin/docker-compose # 创建软链接 sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose # 验证安装 docker-compose --version

8.2 编写docker-compose.yml文件

以下是一个简单的Web应用程序的docker-compose.yml示例:

version: '3.8' services: web: image: nginx:latest ports: - "8080:80" volumes: - ./html:/usr/share/nginx/html networks: - app-network depends_on: - app app: image: my-app:latest build: ./app volumes: - ./app:/app networks: - app-network environment: - NODE_ENV=production depends_on: - db db: image: mysql:5.7 environment: - MYSQL_ROOT_PASSWORD=secret - MYSQL_DATABASE=myapp volumes: - db-data:/var/lib/mysql networks: - app-network networks: app-network: driver: bridge volumes: db-data: driver: local

8.3 使用Docker Compose命令

# 启动所有服务 docker-compose up -d # 查看服务状态 docker-compose ps # 查看服务日志 docker-compose logs # 查看特定服务的日志 docker-compose logs web # 停止所有服务 docker-compose stop # 停止并删除容器、网络、卷和镜像 docker-compose down # 重新构建并启动服务 docker-compose up -d --build # 扩展服务实例数量 docker-compose up -d --scale web=3 # 在服务中执行命令 docker-compose exec web bash

8.4 环境变量和.env文件

# 创建.env文件 echo "NODE_ENV=production" > .env echo "DB_PASSWORD=secret" >> .env # 在docker-compose.yml中使用环境变量 # version: '3.8' # services: # app: # image: my-app:latest # environment: # - NODE_ENV=${NODE_ENV} # - DB_PASSWORD=${DB_PASSWORD}

8.5 Docker Compose覆盖文件

# 创建docker-compose.override.yml # version: '3.8' # services: # app: # environment: # - NODE_ENV=development # volumes: # - ./app:/app:rw # 使用覆盖文件启动服务(默认会加载docker-compose.override.yml) docker-compose up -d # 使用特定的覆盖文件 docker-compose -f docker-compose.yml -f docker-compose.dev.yml up -d

9. 容器编排与Kubernetes集成

对于大规模的容器部署和管理,Docker Swarm和Kubernetes是两个主要的容器编排平台。

9.1 Docker Swarm简介

Docker Swarm是Docker的原生集群和编排工具,它将多个Docker主机转换为一个虚拟Docker主机。

9.2 初始化Docker Swarm

# 初始化Swarm集群(第一个节点作为管理节点) docker swarm init --advertise-addr <MANAGER_IP> # 获取加入集群的命令(用于工作节点) docker swarm join-token worker # 获取加入集群的命令(用于管理节点) docker swarm join-token manager

9.3 部署服务到Swarm

# 创建服务 docker service create --name web --replicas 3 -p 8080:80 nginx # 扩展服务 docker service scale web=5 # 查看服务 docker service ls # 查看服务详情 docker service inspect web # 删除服务 docker service rm web

9.4 使用Docker Stack

# 创建docker-stack.yml文件 # version: '3.8' # services: # web: # image: nginx:latest # ports: # - "8080:80" # deploy: # replicas: 3 # update_config: # parallelism: 1 # delay: 10s # restart_policy: # condition: on-failure # 部署栈 docker stack deploy -c docker-stack.yml myapp # 查看栈 docker stack ls # 查看栈中的服务 docker stack services myapp # 删除栈 docker stack rm myapp

9.5 Kubernetes简介

Kubernetes是一个开源的容器编排平台,用于自动化容器化应用程序的部署、扩展和管理。

9.6 在AlmaLinux上安装Kubernetes

# 安装Kubernetes仓库 cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-$basearch enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg exclude=kubelet kubeadm kubectl EOF # 安装Kubernetes组件 sudo dnf install -y kubelet kubeadm kubectl --disableexcludes=kubernetes # 启用并启动kubelet sudo systemctl enable --now kubelet # 禁用swap sudo swapoff -a sudo sed -i '/ swap / s/^(.*)$/#1/g' /etc/fstab # 初始化Kubernetes集群(在主节点上) sudo kubeadm init --pod-network-cidr=10.244.0.0/16 # 配置kubectl(非root用户) mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config # 安装网络插件(如Flannel) kubectl apply -f https://raw.githubusercontent.com/flannel-io/flannel/master/Documentation/kube-flannel.yml # 加入工作节点(在工作节点上运行) sudo kubeadm join <master-ip>:<master-port> --token <token> --discovery-token-ca-cert-hash <hash>

9.7 使用Kubernetes部署应用

# 创建一个部署 kubectl create deployment nginx --image=nginx # 扩展部署 kubectl scale deployment nginx --replicas=3 # 暴露服务 kubectl expose deployment nginx --port=80 --type=LoadBalancer # 查看部署 kubectl get deployments # 查看Pod kubectl get pods # 查看服务 kubectl get services # 删除部署 kubectl delete deployment nginx

9.8 使用YAML文件定义资源

# nginx-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80 --- apiVersion: v1 kind: Service metadata: name: nginx-service spec: selector: app: nginx ports: - protocol: TCP port: 80 targetPort: 80 type: LoadBalancer 
# 应用YAML文件 kubectl apply -f nginx-deployment.yaml # 删除资源 kubectl delete -f nginx-deployment.yaml

10. 性能优化与监控

为了确保Docker容器在生产环境中高效运行,需要进行性能优化和监控。

10.1 容器资源限制

# 限制容器内存使用 docker run -d -m 512m --name memory-limited nginx # 限制容器CPU使用 docker run -d --cpus=1.5 --name cpu-limited nginx # 限制容器可以使用的CPU核心 docker run -d --cpuset-cpus=0,1 --name cpuset-limited nginx # 设置容器CPU份额(相对权重) docker run -d --cpu-shares=512 --name cpu-shares nginx

10.2 容器日志管理

# 配置容器日志驱动和选项 docker run -d --log-driver=json-file --log-opt max-size=10m --log-opt max-file=3 --name log-limited nginx # 查看容器日志 docker logs log-limited # 实时查看容器日志 docker logs -f log-limited # 查看最后N行日志 docker logs --tail 100 log-limited

10.3 使用Docker监控工具

# 使用docker stats命令监控容器资源使用情况 docker stats # 只显示特定容器 docker stats container1 container2 # 格式化输出 docker stats --format "table {{.Container}}t{{.CPUPerc}}t{{.MemUsage}}" # 使用docker events命令获取Docker守护进程的实时事件 docker events

10.4 使用Prometheus和Grafana监控Docker

# 创建docker-compose.yml文件 # version: '3.8' # services: # prometheus: # image: prom/prometheus # ports: # - "9090:9090" # volumes: # - ./prometheus.yml:/etc/prometheus/prometheus.yml # # grafana: # image: grafana/grafana # ports: # - "3000:3000" # environment: # - GF_SECURITY_ADMIN_PASSWORD=admin # # cadvisor: # image: google/cadvisor # ports: # - "8080:8080" # volumes: # - /:/rootfs:ro # - /var/run:/var/run:ro # - /sys:/sys:ro # - /var/lib/docker/:/var/lib/docker:ro # 创建prometheus.yml配置文件 # global: # scrape_interval: 15s # # scrape_configs: # - job_name: 'cadvisor' # scrape_interval: 5s # static_configs: # - targets: ['cadvisor:8080'] # 启动监控服务 docker-compose up -d

10.5 使用ELK Stack收集和分析容器日志

# 创建docker-compose.yml文件 # version: '3.8' # services: # elasticsearch: # image: docker.elastic.co/elasticsearch/elasticsearch:7.10.1 # environment: # - discovery.type=single-node # ports: # - "9200:9200" # # logstash: # image: docker.elastic.co/logstash/logstash:7.10.1 # volumes: # - ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf # ports: # - "5000:5000" # # kibana: # image: docker.elastic.co/kibana/kibana:7.10.1 # ports: # - "5601:5601" # # filebeat: # image: docker.elastic.co/beats/filebeat:7.10.1 # volumes: # - ./filebeat.yml:/usr/share/filebeat/filebeat.yml # - /var/lib/docker/containers:/var/lib/docker/containers:ro # - /var/run/docker.sock:/var/run/docker.sock:ro # 创建logstash.conf配置文件 # input { # tcp { # port => 5000 # codec => json_lines # } # } # # output { # elasticsearch { # hosts => "elasticsearch:9200" # } # } # 创建filebeat.yml配置文件 # filebeat.inputs: # - type: log # enabled: true # paths: # - '/var/lib/docker/containers/*/*.log' # json.keys_under_root: true # json.add_error_key: true # # output.logstash: # hosts: ["logstash:5000"] # 启动ELK Stack docker-compose up -d

11. 实际应用案例

通过实际案例,我们可以更好地理解如何在AlmaLinux上使用Docker部署应用程序。

11.1 部署WordPress网站

# 创建docker-compose.yml文件 cat > docker-compose.yml <<EOF version: '3.8' services: db: image: mysql:5.7 volumes: - db_data:/var/lib/mysql restart: always environment: MYSQL_ROOT_PASSWORD: somewordpress MYSQL_DATABASE: wordpress MYSQL_USER: wordpress MYSQL_PASSWORD: wordpress wordpress: depends_on: - db image: wordpress:latest ports: - "8000:80" restart: always environment: WORDPRESS_DB_HOST: db:3306 WORDPRESS_DB_USER: wordpress WORDPRESS_DB_PASSWORD: wordpress WORDPRESS_DB_NAME: wordpress volumes: - wordpress_data:/var/www/html volumes: db_data: {} wordpress_data: {} EOF # 启动WordPress docker-compose up -d # 访问WordPress网站 # http://<your-server-ip>:8000

11.2 部署Node.js应用

# 创建Dockerfile cat > Dockerfile <<EOF FROM node:14-alpine WORKDIR /app COPY package*.json ./ RUN npm install COPY . . EXPOSE 3000 CMD ["node", "app.js"] EOF # 创建.dockerignore文件 cat > .dockerignore <<EOF node_modules npm-debug.log EOF # 创建简单的Node.js应用 cat > app.js <<EOF const express = require('express'); const app = express(); const port = 3000; app.get('/', (req, res) => { res.send('Hello World!'); }); app.listen(port, () => { console.log(`App listening at http://localhost:${port}`); }); EOF # 创建package.json cat > package.json <<EOF { "name": "node-app", "version": "1.0.0", "description": "Simple Node.js application", "main": "app.js", "scripts": { "start": "node app.js" }, "dependencies": { "express": "^4.17.1" } } EOF # 构建镜像 docker build -t my-node-app . # 运行容器 docker run -d -p 3000:3000 --name node-app my-node-app # 访问应用 # http://<your-server-ip>:3000

11.3 部署多服务微服务应用

# 创建项目结构 mkdir -p microservices/{api,web,db} cd microservices # 创建API服务的Dockerfile cat > api/Dockerfile <<EOF FROM node:14-alpine WORKDIR /app COPY package*.json ./ RUN npm install COPY . . EXPOSE 3000 CMD ["node", "index.js"] EOF # 创建API服务 cat > api/index.js <<EOF const express = require('express'); const app = express(); const port = 3000; const mysql = require('mysql'); const connection = mysql.createConnection({ host: 'db', user: 'root', password: 'password', database: 'microservices' }); connection.connect(); app.get('/api/users', (req, res) => { connection.query('SELECT * FROM users', (error, results) => { if (error) throw error; res.json(results); }); }); app.listen(port, () => { console.log(`API service listening at http://localhost:${port}`); }); EOF # 创建API服务的package.json cat > api/package.json <<EOF { "name": "api-service", "version": "1.0.0", "description": "API service for microservices", "main": "index.js", "scripts": { "start": "node index.js" }, "dependencies": { "express": "^4.17.1", "mysql": "^2.18.1" } } EOF # 创建Web服务的Dockerfile cat > web/Dockerfile <<EOF FROM nginx:alpine COPY . /usr/share/nginx/html EOF # 创建Web服务 cat > web/index.html <<EOF <!DOCTYPE html> <html> <head> <title>Microservices Demo</title> <style> body { font-family: Arial, sans-serif; margin: 40px; } h1 { color: #333; } #users { margin-top: 20px; border-collapse: collapse; width: 100%; } #users th, #users td { border: 1px solid #ddd; padding: 8px; } #users th { padding-top: 12px; padding-bottom: 12px; text-align: left; background-color: #4CAF50; color: white; } </style> </head> <body> <h1>Microservices Demo</h1> <div id="user-list"> <h2>Users</h2> <table id="users"> <thead> <tr> <th>ID</th> <th>Name</th> <th>Email</th> </tr> </thead> <tbody> <!-- Users will be loaded here --> </tbody> </table> </div> <script> fetch('/api/users') .then(response => response.json()) .then(users => { const tbody = document.querySelector('#users tbody'); users.forEach(user => { const row = document.createElement('tr'); row.innerHTML = ` <td>${user.id}</td> <td>${user.name}</td> <td>${user.email}</td> `; tbody.appendChild(row); }); }) .catch(error => console.error('Error:', error)); </script> </body> </html> EOF # 创建数据库初始化脚本 cat > db/init.sql <<EOF CREATE DATABASE IF NOT EXISTS microservices; USE microservices; CREATE TABLE IF NOT EXISTS users ( id INT AUTO_INCREMENT PRIMARY KEY, name VARCHAR(255) NOT NULL, email VARCHAR(255) NOT NULL ); INSERT INTO users (name, email) VALUES ('John Doe', 'john@example.com'), ('Jane Smith', 'jane@example.com'), ('Bob Johnson', 'bob@example.com'); EOF # 创建docker-compose.yml文件 cat > docker-compose.yml <<EOF version: '3.8' services: db: image: mysql:5.7 volumes: - db_data:/var/lib/mysql - ./db/init.sql:/docker-entrypoint-initdb.d/init.sql restart: always environment: MYSQL_ROOT_PASSWORD: password MYSQL_DATABASE: microservices networks: - microservices-network api: build: ./api restart: always depends_on: - db networks: - microservices-network web: build: ./web ports: - "80:80" restart: always depends_on: - api networks: - microservices-network volumes: db_data: {} networks: microservices-network: driver: bridge EOF # 启动微服务应用 docker-compose up -d # 访问应用 # http://<your-server-ip>

12. 故障排除与最佳实践

在使用Docker的过程中,可能会遇到各种问题。本节将介绍一些常见问题的解决方法和最佳实践。

12.1 常见问题及解决方案

12.1.1 容器无法启动

# 查看容器日志 docker logs <container_id_or_name> # 查看容器详细信息 docker inspect <container_id_or_name> # 以交互模式运行容器进行调试 docker run -it --entrypoint /bin/bash <image_name> # 查看Docker守护进程日志 sudo journalctl -u docker

12.1.2 网络连接问题

# 检查Docker网络 docker network ls # 检查容器网络配置 docker inspect <container_id_or_name> | grep -A 20 "NetworkSettings" # 测试容器网络连通性 docker exec -it <container_id_or_name> ping <target_ip_or_hostname> # 检查防火墙设置 sudo firewall-cmd --list-all sudo firewall-cmd --add-port=<port>/tcp --permanent sudo firewall-cmd --reload

12.1.3 存储问题

# 检查Docker存储驱动 docker info | grep "Storage Driver" # 检查磁盘空间 df -h du -sh /var/lib/docker # 清理未使用的Docker对象 docker system prune -a # 清理所有未使用的Docker对象(包括未使用的镜像) docker system prune -a --volumes

12.1.4 性能问题

# 监控容器资源使用情况 docker stats # 检查容器CPU和内存限制 docker inspect <container_id_or_name> | grep -A 10 "HostConfig" # 检查主机资源使用情况 top htop free -h

12.2 Docker最佳实践

12.2.1 镜像最佳实践

# 使用多阶段构建减小镜像大小 # 第一阶段:构建应用 FROM node:14 AS builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build # 第二阶段:运行应用 FROM nginx:alpine COPY --from=builder /app/dist /usr/share/nginx/html EXPOSE 80 CMD ["nginx", "-g", "daemon off;"] # 使用.dockerignore文件排除不必要的文件 node_modules npm-debug.log .git .gitignore README.md .env # 使用特定版本的镜像而不是latest标签 FROM node:14.17.0-alpine # 合并RUN命令减少镜像层数 RUN apt-get update && apt-get install -y python3 && rm -rf /var/lib/apt/lists/* # 使用非root用户运行容器 RUN addgroup -g 1000 -S appgroup && adduser -u 1000 -S appuser -G appgroup USER appuser

12.2.2 容器最佳实践

# 限制容器资源使用 docker run -d -m 512m --cpus=1.0 --name limited-container nginx # 使用只读根文件系统 docker run -d --read-only --tmpfs /tmp --tmpfs /run --name read-only-container nginx # 使用健康检查 docker run -d --name health-check-container --health-cmd="curl -f http://localhost/ || exit 1" --health-interval=5s --health-retries=3 --health-timeout=3s nginx # 使用标签组织容器 docker run -d --name labeled-container -l "com.example.department=engineering" -l "com.example.description=Web server" nginx

12.2.3 安全最佳实践

# 使用内容信任 export DOCKER_CONTENT_TRUST=1 # 使用安全扫描工具 docker scan <image_name> # 使用AppArmor或SELinux配置文件 docker run -d --security-opt apparmor=docker-default nginx # 使用seccomp配置文件限制系统调用 docker run -d --security-opt seccomp=/path/to/seccomp/profile.json nginx # 使用--no-new-privileges标志防止容器提升权限 docker run -d --security-opt no-new-privileges nginx

12.2.4 Docker Compose最佳实践

# 使用环境变量 version: '3.8' services: web: image: nginx environment: - NODE_ENV=${NODE_ENV:-production} - DB_HOST=${DB_HOST:-db} # 使用扩展字段减少重复 version: '3.8' x-common-variables: &common-variables NODE_ENV: production DB_HOST: db services: web: image: nginx environment: *common-variables api: image: my-api environment: *common-variables # 使用健康检查 version: '3.8' services: web: image: nginx healthcheck: test: ["CMD", "curl", "-f", "http://localhost"] interval: 30s timeout: 10s retries: 3 start_period: 40s # 使用资源限制 version: '3.8' services: web: image: nginx deploy: resources: limits: cpus: '0.50' memory: 512M reservations: cpus: '0.25' memory: 256M

13. 总结

本文详细介绍了在AlmaLinux企业级操作系统上安装和配置Docker容器的全过程,从基础概念到高级应用。我们首先了解了AlmaLinux和Docker的基本概念,然后详细介绍了Docker的安装、配置和使用方法,包括网络配置、存储配置、安全配置等方面。我们还介绍了Docker Compose、容器编排与Kubernetes集成、性能优化与监控等内容,并通过实际案例展示了如何使用Docker部署应用程序。最后,我们讨论了一些常见问题的解决方法和最佳实践。

通过本文的学习,读者应该能够全面掌握在AlmaLinux上使用Docker容器技术,打造高效稳定的应用部署环境,简化开发运维流程。Docker作为一种轻量级的容器化技术,可以大大提高应用程序的可移植性和可扩展性,是企业实现DevOps和微服务架构的重要工具。

随着容器技术的不断发展,Docker也在不断演进和完善。未来,我们可以期待Docker在安全性、性能、易用性等方面有更多的改进和创新。作为IT从业者,我们应该持续关注和学习容器技术的最新发展,不断提升自己的技能和知识,以适应不断变化的技术环境。

希望本文能够帮助读者更好地理解和使用Docker容器技术,在实际工作中发挥其最大的价值。