搜索结果: "docker"

title: Docker 镜像优化完全指南：瘦身、构建加速与安全加固

tags: [docker, image, container, build, deployment, security]

- raw/articles/docker-image-slimming-4-steps.md

- raw/articles/dockerfile-best-practices.md

- raw/articles/别再乱写-Dockerfile-了-做对这六点-镜像又小又快.md

title: Docker 生产环境踩坑指南 — 10 + 5 个常见问题

tags: [docker, container, troubleshooting, security, production, networking, debugging]

sources: [raw/articles/docker-production-pitfalls.md]

# Docker 生产环境踩坑指南

> Docker 已经是现代运维和开发的基础设施，但容器环境的特殊性让很多物理机/虚拟机上不会出的问题集中爆发。

title: Go 静态编译与 Docker 极致瘦身

tags: [docker, image, build, golang, container]

sources: [raw/articles/docker-image-slimming-4-steps.md]

# Go 静态编译与 Docker 极致瘦身

Go 语言因其静态编译特性，可以在 Docker 中实现极致瘦身——从 1.2 GB 压缩到 45 MB。

title: 容器网络排障 6 层模型 — K8s/Docker/containerd 统一排查体系

tags: [kubernetes, networking, troubleshooting, docker, debugging, performance, container]

绝大多数容器网络不通并不是网络真的坏了，而是链路上某一层状态与预期不一致。本模型将容器网络拆成 **6 层**，每层只问一个问题，覆盖 K8s/Docker/containerd 三类环境。

3. **节点网桥与路由** — `ip -br addr` + `ip route` → cni0/docker0 是否 UP，default via 可达

无论 Docker 还是 containerd，本质都一样：容器在独立 netns 里，与宿主机通过 veth pair 连接，主机侧接网桥（docker0/cni0），再通过路由/NAT 出去。

tags: [linux, docker, kubernetes, deployment, networking, security, monitoring, production]

| 3 | Docker 容器和虚拟机的区别？ | 容器共享宿主机内核（轻量/启动快），虚拟机有独立内核（隔离性好/占用多） | [[docker-production-pitfalls]] |

| 4 | 如何优化 Docker 镜像大小？ | 轻量基础镜像 + 多阶段构建 + 清理临时文件 + 合并 RUN + .dockerignore | [[docker-image-optimization]] |

| 55 | overlay2 文件系统原理？ | lowerdir(镜像只读) + upperdir(容器可写) + merged(根文件系统)；COW 机制；分层膨胀→日志优化+清理 | [[docker-image-optimization]] |

| [[docker-image-optimization]] | Docker 镜像优化核心方法论 |

tags: [linux, networking, database, troubleshooting, production, security, monitoring, docker]

| 容器化 | Docker | 共享宿主机内核，轻量级 |

参见 [[docker-production-pitfalls]]（Docker 生产踩坑）和 [[docker-image-optimization]]（镜像优化）。

### 14. Docker 核心组件

| Docker Daemon | 管理容器、镜像、网络 |

| Harbor / DockerHub | 镜像仓库 | 内网优先 |

stage('Docker Build & Push') {

docker build -t ${REGISTRY}/${IMAGE_NAME}:${VERSION} .

docker push ${REGISTRY}/${IMAGE_NAME}:${VERSION}

- [[docker-image-optimization]] — Docker 镜像优化（含 CI/CD 构建脚本）

3. 检查容器运行时（containerd/docker / crictl）

### dockerd 排查（如果使用 Docker 运行时）

sudo systemctl status docker

sudo journalctl -u docker -n 200 --no-pager

sudo docker ps -a

**运维意义：** 精简 Docker 镜像可能没有此软链接，`which ls` 找不到命令时检查 /usr/bin。

| /usr/bin | 用户命令（含非基础工具） | yum, docker, nginx, mysql |

| /usr/lib/systemd/system | systemd unit 文件 | nginx.service, docker.service |

├── docker/ # Docker daemon.json

│ ├── docker/ # Docker 镜像/容器数据

- [[container-networking-troubleshooting]] — 容器网络排障 6 层模型：K8s/Docker/containerd 统一排查体系（分层定位 + 30 秒速查 + 案例复盘）

- [[docker-image-optimization]] — Docker 镜像优化完全指南：瘦身、构建加速与安全加固（多阶段/BuildKit/CI集成）

- [[docker-production-pitfalls]] — Docker 生产环境踩坑指南：10+5 个常见问题（存储/网络/安全/数据管理）

- [[go-static-compilation-docker]] — Go 静态编译 + UPX + scratch 空镜像极致瘦身

- [[linux-api-performance-tuning-case-study]] — Linux 系统调优实战：接口 500ms→100ms 全复盘（CPU/内存/磁盘/网络/JVM/Docker）

## [2026-05-08] ingest | Docker 镜像瘦身：从 1.2GB 到 45MB

- Created raw: raw/articles/docker-image-slimming-4-steps.md

- Created concepts: docker-image-optimization, go-static-compilation-docker

- 修复断裂链接（docker-multi-stage-build → go-static-compilation-docker）

## [2026-05-12] ingest | 别再踩坑！生产环境 Docker 最易中招的 10 个问题

tags: [kubernetes, deployment, architecture, build, networking, storage, monitoring, configmap, security, certificate, docker, container]

- name: "docker"

image: "docker:24.0-cli"

| `authentication required` / `denied` | 私有仓库未认证 | `kubectl create secret docker-registry ...` → 关联到 Deployment |

📖 深度排查 → [[pod-troubleshooting]]（ImagePullBackOff 章节） | [[docker-image-optimization]]

- [[docker-image-optimization]] — Docker 镜像优化与部署（镜像拉取策略的配合参考）

journalctl -u docker -u nginx -f # 同时监控多个服务

journalctl -u docker -u sshd -p warning -n 20 -f

- 同时监控 docker 和 sshd 服务

├── docker/ # Docker 容器化与镜像

- docker: Docker 容器与镜像

| ⑤ cgroup v2 兼容性 | `docker_container` 模块异常 | Ubuntu 24 默认 cgroup v2，旧 Docker 不兼容 | 升级 Docker 或切回 cgroup v1 |

- [[docker-production-pitfalls]] — Docker 生产级实践

| 应用 | Java Spring Boot 微服务，Docker 容器部署 |

# Docker daemon 配置

net.ipv4.ip_forward = 1 # 开启路由转发（Docker/NAT 场景）

- **ip_forward** — Docker、NAT 场景必须开启

usermod -aG docker devops

# uid=1000(devops) gid=1000(devops) groups=1000(devops),10(wheel),996(docker)

- [[container-networking-troubleshooting]] — 容器网络排障 6 层模型（K8s/Docker/containerd 统一排查体系，补充容器网络维度）

- [[docker-production-pitfalls]] — Docker 容器 OOMKilled 排查（坑四）

- [[docker-production-pitfalls]] — Docker 生产坑（含 OOMKilled）

| 2 | K8s vs Docker Swarm？ | K8s 功能丰富、扩展性强、生态活跃；Swarm 简单易用、适合中小集群 | — |

| [[docker-image-optimization]] | 案例 10：镜像拉取策略 |

- [[docker-production-pitfalls]] — Docker 原生资源限制视角（与 K8s 资源限制互补）

docker pull

- [[docker-production-pitfalls]] — Docker 原生 OOMKill 与资源限制视角

ip addr | grep -E "flannel|calico|cni|docker"

- 容器环境需先进入：`docker exec -it container_id jstack PID`

- [[docker-image-optimization]] — Docker 镜像优化（多阶段构建与层压缩）

usermod -aG docker username # 追加到组（-a 必须，否则覆盖）

| [[docker-production-pitfalls]] | Docker 安全（Docker daemon 入侵检测补充） |

**适用场景：** NAT 网关、正向代理、调用第三方接口、K8s 节点、Docker 宿主机（仅对主动连接方有效）。

| [[docker-production-pitfalls]] | Docker 生产环境踩坑（Docker API 安全与 daemon 加固） |

- [[docker-production-pitfalls]] — Docker 生产环境 TCP 连接排坑