一、镜像管理：构建、存储与分发

1.1 镜像构建与版本控制

镜像作为容器运行的基础，其构建质量直接影响应用稳定性。docker build命令通过Dockerfile定义构建流程，配合--tag参数指定镜像版本：

docker build -t myapp:v1.0 -f Dockerfile.prod .

构建完成后，使用docker tag为镜像添加多维度标签（如环境、架构、版本号），形成清晰的版本矩阵：

docker tag myapp:v1.0 registry.example.com/team/myapp:v1.0-amd64

最佳实践：在CI流水线中，构建阶段自动生成带Git Commit Hash的标签，确保镜像与代码版本强关联。

1.2 镜像存储优化

生产环境常面临镜像仓库空间不足问题，需定期清理无效镜像。docker image prune可删除悬空镜像（Dangling Images），而docker rmi结合--force参数可强制删除被容器引用的镜像：

# 删除所有悬空镜像
docker image prune -f
# 强制删除特定镜像
docker rmi --force nginx:old

对于大型镜像，使用docker save导出为离线包，通过物理介质传输至内网环境后，用docker load导入：

docker save -o myapp.tar myapp:v1.0
scp myapp.tar user@internal-server:/tmp/
ssh user@internal-server "docker load -i /tmp/myapp.tar"

1.3 镜像安全审计

通过docker history命令分析镜像构建历史，识别潜在安全风险：

docker history --no-trunc myapp:v1.0

重点关注以下异常：

• 敏感文件通过COPY指令进入镜像
• 基础镜像存在未修复的CVE漏洞
• 构建层包含不必要的开发工具（如curl、wget）

二、容器生命周期管理

2.1 容器创建与启动

docker run是容器管理的核心命令，支持丰富的参数配置：

docker run -d \
  --name web-server \
  -p 8080:80 \
  -v /data/logs:/var/log/nginx \
  --restart unless-stopped \
  nginx:1.25

关键参数解析：

• -d：后台运行模式
• -p：端口映射（主机端口:容器端口）
• -v：数据卷挂载（主机路径:容器路径）
• --restart：重启策略（no/on-failure/unless-stopped/always）

场景示例：在CI环境中启动测试数据库容器：

docker run --rm \
  --name test-db \
  -e MYSQL_ROOT_PASSWORD=secret \
  -p 3306:3306 \
  mysql:8.0 \
  --default-authentication-plugin=mysql_native_password

2.2 容器状态监控

通过docker ps获取容器运行状态，结合--format参数定制输出格式：

docker ps --format "table {{.ID}}\t{{.Names}}\t{{.Status}}\t{{.Ports}}"

对于复杂环境，建议使用docker-compose ps对齐多容器服务状态。当容器出现异常时，docker inspect可获取详细配置信息：

docker inspect web-server | grep -i "ipaddress"

2.3 容器维护操作

优雅停止容器应遵循以下步骤：

1. 发送SIGTERM信号（docker stop）
2. 等待优雅退出期（默认10秒）
3. 强制终止（docker kill）

# 优雅停止流程
docker stop web-server && docker start web-server
# 强制终止（当容器无响应时）
docker kill --signal=SIGKILL web-server

三、数据持久化方案

3.1 数据卷管理

数据卷（Volume）是容器数据持久化的推荐方式，具有以下优势：

• 独立于容器生命周期
• 支持多容器共享
• 由Docker管理存储驱动

# 创建数据卷
docker volume create app_logs
# 使用数据卷
docker run -v app_logs:/var/log/nginx nginx:1.25

3.2 绑定挂载优化

绑定挂载（Bind Mount）直接映射主机目录，适用于开发调试场景：

docker run -v $(pwd)/src:/app/src -v $(pwd)/config.json:/app/config.json myapp

性能对比：
| 存储方式 | 读写速度 | 跨主机支持 | 安全性 |
|————-|————-|—————-|———-|
| 数据卷 | 快 | 是 | 高 |
| 绑定挂载 | 依赖主机 | 否 | 依赖主机权限 |

3.3 日志收集实践

容器日志可通过以下方式集中管理：

1. 标准输出重定向：配置应用将日志输出到stdout/stderr
2. 日志驱动配置：在docker run中指定--log-driver参数
3. 边车模式：启动专用日志收集容器

# 使用syslog驱动示例
docker run --log-driver=syslog --log-opt syslog-address=udp://1.2.3.4:11514 nginx

四、高级运维技巧

4.1 资源限制配置

防止容器占用过多主机资源：

docker run --cpus=2 --memory=4g --memory-swap=8g myapp

关键参数：

• --cpus：CPU配额（如1.5表示150%）
• --memory：内存限制
• --memory-swap：内存+交换分区限制

4.2 网络模式选择

根据场景选择网络模式：

# 桥接模式（默认）
docker run --network bridge myapp
# 主机模式（共享主机网络栈）
docker run --network host myapp
# 自定义网络（推荐生产环境使用）
docker network create app_net
docker run --network app_net myapp

4.3 批量操作技巧

使用xargs实现批量容器管理：

# 批量停止所有nginx容器
docker ps -q --filter "ancestor=nginx" | xargs docker stop
# 批量清理已停止容器
docker ps -aq --filter "status=exited" | xargs docker rm

五、常见问题解决方案

5.1 端口冲突处理

当端口被占用时，可通过以下方式解决：

1. 修改容器端口映射
2. 终止占用端口的进程
3. 使用docker network创建隔离网络环境

# 查找占用端口的进程
lsof -i :8080
# 终止进程（假设PID为1234）
kill -9 1234

5.2 镜像拉取失败处理

检查以下方面：

• 网络连接状态
• 镜像仓库认证信息
• 存储驱动配置

# 测试网络连通性
curl -v https://registry.example.com/v2/
# 重新登录镜像仓库
docker login registry.example.com

5.3 容器无法启动排查

按以下步骤诊断：

1. 检查日志：docker logs container_name
2. 查看资源限制：docker inspect container_name | grep -i "limits"
3. 进入容器调试：docker exec -it container_name sh

# 示例：排查内存不足问题
docker stats container_name
free -h  # 在容器内执行

通过系统掌握这些核心命令与实践技巧，开发者可构建出高效、稳定的容器化应用环境。建议结合具体业务场景建立命令操作规范，并定期进行容器健康检查，确保系统长期稳定运行。