Docker基础

Docker是一个开源的容器化平台，它使用Linux内核的资源隔离功能，来让独立的容器在同一个Linux实例上运行，避免了启动和维护虚拟机的开销。容器技术彻底改变了应用程序的打包、分发和部署方式。

核心概念

容器是一种轻量级、可移植的软件打包技术，它将应用程序及其所有依赖项打包在一起，确保在任何环境中都能一致运行。

Docker核心组件

Docker Engine

Docker的核心运行时，负责创建和管理容器，包括Docker守护进程和REST API。

Docker Image

只读的模板，用于创建容器。镜像包含运行应用程序所需的所有内容。

Docker Container

镜像的运行实例，是一个轻量级、可移植的执行环境。

Docker Registry

存储和分发Docker镜像的服务，如Docker Hub、私有Registry等。

Dockerfile最佳实践

Dockerfile示例

# 使用官方Node.js运行时作为基础镜像
FROM node:16-alpine

# 设置工作目录
WORKDIR /app

# 复制package.json和package-lock.json
COPY package*.json ./

# 安装依赖
RUN npm ci --only=production

# 复制应用代码
COPY . .

# 暴露端口
EXPOSE 3000

# 创建非root用户
RUN addgroup -g 1001 -S nodejs
RUN adduser -S nextjs -u 1001
USER nextjs

# 启动应用
CMD ["npm", "start"]
            

                    
                    安全最佳实践
                
使用官方基础镜像：选择经过验证的官方镜像作为基础
最小化镜像大小：使用多阶段构建，只包含必要的文件
非root用户运行：创建专用用户，避免使用root权限
定期更新镜像：及时更新基础镜像和依赖包
扫描漏洞：使用工具扫描镜像中的安全漏洞

容器编排

容器编排是管理容器化应用程序的生命周期的过程，包括部署、扩展、网络、服务发现等。随着微服务架构的普及，容器编排成为了现代应用部署的核心技术。

编排工具对比

Docker Compose

适用于单机多容器应用，通过YAML文件定义和运行多容器Docker应用。

Kubernetes

生产级容器编排平台，提供自动化部署、扩展和管理容器化应用。

Docker Swarm

Docker原生的集群管理工具，简单易用但功能相对有限。

Docker Compose示例

docker-compose.yml

version: '3.8'

services:
  web:
    build: .
    ports:
      - "3000:3000"
    environment:
      - NODE_ENV=production
    depends_on:
      - redis
      - db
    networks:
      - app-network

  redis:
    image: redis:7-alpine
    networks:
      - app-network

  db:
    image: postgres:14
    environment:
      POSTGRES_DB: myapp
      POSTGRES_USER: user
      POSTGRES_PASSWORD: password
    volumes:
      - postgres_data:/var/lib/postgresql/data
    networks:
      - app-network

volumes:
  postgres_data:

networks:
  app-network:
    driver: bridge
            

Kubernetes架构

Kubernetes（K8s）是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用程序。它提供了一个弹性的平台来运行分布式系统，处理扩展需求、故障转移、部署模式等。

核心组件

Master Node

控制平面，包括API Server、etcd、Controller Manager和Scheduler。

Worker Node

运行应用容器，包括kubelet、kube-proxy和容器运行时。

Pod

Kubernetes中最小的部署单元，包含一个或多个容器。

Service

为Pod提供稳定的网络访问入口和负载均衡。

Kubernetes资源清单

deployment.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: web-app
  labels:
    app: web-app
spec:
  replicas: 3
  selector:
    matchLabels:
      app: web-app
  template:
    metadata:
      labels:
        app: web-app
    spec:
      containers:
      - name: web
        image: nginx:1.21
        ports:
        - containerPort: 80
        resources:
          requests:
            memory: "64Mi"
            cpu: "250m"
          limits:
            memory: "128Mi"
            cpu: "500m"
---
apiVersion: v1
kind: Service
metadata:
  name: web-service
spec:
  selector:
    app: web-app
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80
  type: LoadBalancer
            

服务网格（Service Mesh）

服务网格是一个专用的基础设施层，用于处理微服务架构中服务间的通信。它提供了服务发现、负载均衡、故障恢复、指标收集和监控等功能，而无需修改应用程序代码。

核心价值

服务网格将网络功能从应用程序中分离出来，使开发者可以专注于业务逻辑，而基础设施团队负责网络策略和安全。

服务网格架构

数据平面

由轻量级代理组成，通常作为sidecar部署，处理服务间的所有网络通信。

控制平面

管理和配置代理，提供策略、配置分发和遥测数据收集。

主流服务网格对比

Istio

功能最全面的服务网格，提供流量管理、安全、可观测性等完整解决方案。

Linkerd

轻量级服务网格，专注于简单性和性能，易于安装和使用。

Consul Connect

HashiCorp的服务网格解决方案，与Consul服务发现紧密集成。

Istio实践

Istio是目前最流行的服务网格实现，它提供了连接、保护、控制和观察微服务的统一方法。Istio使用Envoy代理作为数据平面，提供了丰富的流量管理、安全策略和可观测性功能。

Istio核心功能

流量管理

智能路由、负载均衡、故障注入、超时重试等流量控制功能。

安全

服务间的mTLS认证、访问控制策略、安全命名等安全功能。

可观测性

指标收集、分布式追踪、访问日志等监控和诊断功能。

策略执行

速率限制、访问控制、资源配额等策略执行功能。

Istio配置示例

VirtualService配置

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: bookinfo
spec:
  http:
  - match:
    - headers:
        end-user:
          exact: jason
    route:
    - destination:
        host: reviews
        subset: v2
  - route:
    - destination:
        host: reviews
        subset: v1
      weight: 90
    - destination:
        host: reviews
        subset: v3
      weight: 10
            

DestinationRule配置

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: reviews
spec:
  host: reviews
  trafficPolicy:
    connectionPool:
      tcp:
        maxConnections: 10
      http:
        http1MaxPendingRequests: 10
        maxRequestsPerConnection: 2
    circuitBreaker:
      consecutiveErrors: 3
      interval: 30s
      baseEjectionTime: 30s
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3
            

                    
                    实施建议
                
渐进式部署：从非关键服务开始，逐步扩展到整个系统
监控先行：在实施前建立完善的监控和告警机制
团队培训：确保团队掌握服务网格的概念和操作
性能测试：评估服务网格对系统性能的影响
故障演练：定期进行故障注入和恢复演练

云原生最佳实践

云原生是一种构建和运行应用程序的方法，充分利用云计算的优势。它包括容器化、微服务架构、DevOps实践、持续交付等核心要素，旨在提高应用程序的可扩展性、弹性和可维护性。

云原生核心原则

                    
                    12-Factor App原则
                
代码库：一个代码库，多个部署
依赖：显式声明和隔离依赖
配置：在环境中存储配置
后端服务：把后端服务当作附加资源
构建、发布、运行：严格分离构建和运行
进程：以一个或多个无状态进程运行应用
端口绑定：通过端口绑定提供服务
并发：通过进程模型进行扩展
易处理：快速启动和优雅终止
开发环境与线上环境等价：尽可能保持开发、预发布、线上环境相同
日志：把日志当作事件流
管理进程：后台管理任务当作一次性进程运行

容器化最佳实践

轻量化镜像

使用Alpine Linux等轻量级基础镜像，减少镜像大小和攻击面。

多阶段构建

分离构建环境和运行环境，只在最终镜像中包含必要的文件。

健康检查

实现应用程序的健康检查端点，支持容器编排的健康监控。

配置外部化

使用环境变量、配置文件或配置中心管理应用配置。

🐳 容器化技术

学习目标