云信AI部署

探索GitHub顶级项目:Docker在Debian 11平台的实战应用

云信安装大师
90
AI 质量分
10 5 月, 2025
5 分钟阅读
0 阅读

探索GitHub顶级项目:Docker在Debian 11平台的实战应用

引言

Docker作为GitHub上最受欢迎的容器化技术之一,已经成为现代应用开发和部署的标准工具。本文将带你在Debian 11系统上从零开始安装和使用Docker,并通过一个完整的示例展示其强大功能。

准备工作

在开始之前,请确保:
– 已安装Debian 11操作系统
– 拥有sudo权限的用户账户
– 稳定的网络连接

第一步:安装Docker引擎

1.1 更新系统软件包

首先更新你的系统软件包列表:

代码片段 
sudo apt update
sudo apt upgrade -y

原理说明apt update刷新软件包索引,apt upgrade将所有已安装的软件包升级到最新版本。

1.2 安装必要的依赖包

代码片段 
sudo apt install -y \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

这些依赖包用于安全地从HTTPS源获取软件:
apt-transport-https: 允许通过HTTPS获取软件包
ca-certificates: CA根证书
curl: HTTP客户端工具
gnupg: GPG加密工具
lsb-release: Linux标准基础信息工具

1.3 添加Docker官方GPG密钥

代码片段 
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

注意事项:这一步验证下载的Docker软件包的完整性,防止中间人攻击。

1.4 设置稳定版仓库

代码片段 
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

原理说明:创建了一个新的APT源文件,指定从Docker官方仓库获取软件。

1.5 安装Docker引擎

代码片段 
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

实践经验:在生产环境中,建议固定特定版本的Docker以避免兼容性问题。

1.6 验证安装

代码片段 
sudo docker run hello-world

如果看到”Hello from Docker!”消息,说明安装成功。

第二步:配置非root用户使用Docker(可选但推荐)

默认情况下,运行Docker命令需要root权限。为了安全起见,我们可以将当前用户加入docker组:

代码片段 
sudo usermod -aG docker $USER
newgrp docker   # 刷新组权限,无需重新登录

安全警告:docker组等同于root权限,只应授予受信任的用户。

第三步:实战示例 – Docker化Nginx Web服务器

让我们通过一个完整的示例来体验Docker的强大功能。

3.1 拉取Nginx镜像

代码片段 
docker pull nginx:latest

原理说明:从Docker Hub下载最新的Nginx镜像到本地。

3.2 运行Nginx容器

代码片段 
docker run --name mynginx -p 8080:80 -d nginx

参数解释:
--name mynginx: 为容器指定名称”mynginx”
-p 8080:80: 将主机的8080端口映射到容器的80端口
-d: “detached”模式(后台运行)
nginx:使用的镜像名称

3.3 验证Nginx运行

打开浏览器访问 http://localhost:8080 ,应该能看到Nginx欢迎页面。

或者使用命令行检查:

代码片段 
curl http://localhost:8080 | head -n5   #显示前5行HTML内容确认响应正常

3.4 (进阶)自定义Nginx配置和网站内容

创建一个简单的自定义网站:

代码片段 
mkdir ~/mywebsite && cd ~/mywebsite

#创建自定义index.html文件(覆盖默认页面)
echo "<h1>Welcome to My Dockerized Website!</h1>" > index.html

#创建一个简单的自定义配置(覆盖默认配置)
mkdir conf && cat > conf/default.conf << 'EOF'
server {
    listen       80;
    server_name localhost;

    location / {
        root   /usr/share/nginx/html;
        index index.html;
    }
}
EOF

#停止并删除之前的容器(如果存在)
docker stop mynginx && docker rm mynginx || true 

#使用卷挂载方式启动新容器(绑定本地目录到容器内)
docker run --name mynginx \
           -p8080:80 \ 
           -v $(pwd)/index.html:/usr/share/nginx/html/index.html \
           -v $(pwd)/conf:/etc/nginx/conf.d \ 
           -d nginx

实践经验
1. -v参数将主机目录挂载到容器内,实现持久化存储和配置修改。
2. /usr/share/nginx/html是Nginx默认的网站根目录。
3. /etc/nginx/conf.d是Nginx的配置文件目录。

Docker常用命令速查表

命令 描述
docker ps|列出正在运行的容器
docker ps -a|列出所有容器(包括停止的)
docker images|列出本地镜像
docker stop <container>|停止指定容器
docker rm <container>|删除指定容器
docker rmi <image>|删除指定镜像
docker logs <container>|查看容器日志
docker exec -it <container> bash|进入正在运行的容器

Docker Compose快速入门(可选)

对于更复杂的应用编排,可以使用Docker Compose:

a)安装Compose插件(如果未安装)

代码片段 
sudo apt install docker-compose-plugin

b)创建compose.yml文件示例:

代码片段 
version: '3'
services:
 web:
   image: nginx:latest 
   ports:
     - "8080:80"
   volumes:
     - ./html:/usr/share/nginx/html 
 db:
   image: mysql:5.7 
   environment:
     MYSQL_ROOT_PASSWORD: example

c)启动服务栈:

代码片段 
docker compose up -d

Docker资源清理技巧

定期清理无用资源可以节省磁盘空间:

代码片段 
#删除所有停止的容器、未使用的网络和悬空镜像(dangling images)
docker system prune 

#删除所有未使用的镜像而不仅仅是悬空镜像(谨慎使用!)
docker system prune --all 

#查看磁盘使用情况  
docker system df

Docker安全性最佳实践

  1. 不要以root身份运行应用:在Dockerfile中使用USER指令指定非特权用户。
  2. 定期更新基础镜像:保持你的基础镜像更新以获得安全补丁。
  3. 最小化攻击面:每个容器只运行一个进程服务。
  4. 限制资源使用:使用–memory、–cpus等参数限制容器的资源消耗。

Debian特定优化提示

由于Debian的安全策略,你可能需要调整以下设置:

  1. 调整cgroups版本(如果遇到systemd问题):

    代码片段 
    sudo mkdir /etc/systemd/system/user@.service.d/
sudo tee /etc/systemd/system/user@.service.d/delegate.conf << EOF 
[Service]
Delegate=cpu cpuset io memory pids  
EOF  

sudo systemctl daemon-reload

  2. 禁用AppArmor(仅在必要时):

    代码片段 
    sudo systemctl stop apparmor  
sudo systemctl disable apparmor

Docker与Debian整合技巧

将Docker集成到systemd中,实现开机自启:

代码片段 
sudo systemctl enable docker.service  
sudo systemctl enable containerd.service

查看服务状态:

代码片段 
systemctl status docker.service  
journalctl -u docker.service --no-pager | tail -20 #查看最近20条日志

Docker网络深度解析

了解Docker网络模型对调试很有帮助:

代码片段 
#列出所有网络  
docker network ls  

#检查特定网络详情  
docker network inspect bridge  

#创建自定义桥接网络(比默认bridge提供更好的DNS支持)  
docker network create myapp-net  

#连接到自定义网络的容器可以按名称互相访问  
docker run --net=myapp-net --name=web nginx  
docker run --net=myapp-net curlimages/curl http://web #可以解析web主机名  

#暴露端口给主机但限制仅限本机访问(--publish vs --expose区别)  
-p127.0.0.1:8080:80 #仅本地可访问该端口映射   
-P #随机分配主机端口,对应EXPOSE指令声明的端口

Debian上的存储驱动选择

Debian默认使用overlay2存储驱动,这是推荐的现代选择。如需验证:

代码片段 
$ docker info | grep Storage    
 Storage Driver: overlay2  

$ lsmod | grep overlay #检查内核模块是否加载    
 overlay               94208  6

如果你的文件系统不支持overlay2(如某些老版本ext4),可能需要调整:

代码片段 
{
 "storage-driver": "devicemapper",    
 "storage-opts": [
    "dm.directlvm_device=/dev/sdb",    
    "dm.thinp_percent=95",    
    "dm.thinp_metapercent=1",    
    "dm.thinp_autoextend_threshold=80",    
    "dm.thinp_autoextend_percent=20"    
 ]     
} >> /etc/docker/daemon.json   

systemctl restart docker

但强烈建议升级内核或文件系统而不是降级存储驱动!

Docker与Debian防火墙整合

Debian默认使用nftables作为防火墙后端,Docker会自行配置规则链。如需手动管理:

代码片段 
#查看nftables规则集(包括DOCKER链)   
nft list ruleset    

#允许特定IP访问容器的公开端口   
nft add rule ip filter INPUT ip saddr {192.168.1.100} tcp dport {8080} accept   

#持久化规则(需先安装iptables-nft兼容层):   
apt install iptables-nftables-compat   
iptables-save > /etc/iptables.rules   

#恢复规则(重启后):   
iptables-restore < /etc/iptables.rules

注意直接修改防火墙可能影响Docker的网络功能!

Debian上的GPU加速支持

如果在Debian上需要使用GPU加速(Debian backports可能有更新的驱动):

代码片段 
#首先确保安装了正确的NVIDIA驱动和CUDA工具包   
apt install nvidia-driver firmware-misc-nonfree   

#然后安装nvidia-container-toolkit   
distribution=$(. /etc/os-release;echo $ID$VERSION_ID) \    
&& curl -sL https://nvidia.github.io/libnvidia-container/gpgkey | sudo gpg --dearmor > /usr/share/keyrings/nvidia-container-toolkit-keyring.gpg \    
&& curl -sL https://nvidia.github.io/libnvidia-container/$distribution/libnvidia-container.list | sed 's#deb https://#deb [signed-by=/usr/share/keyrings/nvidia-container-toolkit-keyring.gpg] https://#' | sudo tee /etc/apt/sources.list.d/nvidia-container-toolkit.list    

apt update && apt install nvidia-container-toolkit   

systemctl restart docker    

#测试GPU支持(--gpus all传递所有GPU设备):    
docker run --rm --gpus all nvidia/cuda nvidia-smi   

#或者指定特定设备编号(GPU编号从0开始):     
--gpus '"device=0,2"' #仅使用第0和第2块GPU     
--gpus '"device=UUID-GPU-UUID"' #按UUID选择特定GPU

对于AMD GPU用户,可使用ROCm方案替代。注意检查你的显卡型号是否被支持!

Debian上的BuildKit加速构建

启用BuildKit可以显著提升构建速度(Debian11默认已启用):

代码片段 
export DOCKER_BUILDKIT=1  

或者在/etc/docker/daemon.json中永久启用:{    
 "features": {"buildkit": true}     
}    

systemctl restart docker   

然后可以使用高级构建特性如缓存挂载(--mount=type=cache):    

cat > Dockerfile <<EOF     
FROM debian:11      
RUN rm -f /etc/apt/apt.conf.d/docker-clean \      
 && echo 'Binary::apt::APT::Keep-Downloaded-Packages "true";' > /etc/apt/apt.conf.d/keep-cache      
RUN --mount=type=cache,target=/var/cache/apt \      
    apt update && apt install some-large-package      
EOF      

time docker build .      对比有无缓存的构建时间差异!

BuildKit还支持并行构建阶段、更安全的秘密管理等功能!

Debian上多架构构建支持

在x86机器上构建ARM等架构的镜像(QEMU模拟):

代码片段 
首先启用binfmt_misc支持多架构二进制文件执行:
sudo apt install qemu qemu-user-static binfmt-support  

验证是否注册了处理程序:
ls /proc/sys/fs/binfmt_misc/qemu*  

然后可以拉取或构建其他架构的镜像:
docker pull arm64v8/debian  

或者直接交叉编译(--platform参数):
FROM --platform=$BUILDPLATFORM debian AS build_stage     
...交叉编译步骤...     

FROM arm64v8/debian     
COPY --from=build_stage ...      


还可以创建多架构manifest清单组合多个架构的镜像:
export DOCKER_CLI_EXPERIMENTAL=enabled     
docker manifest create myimage:x86-arm \      
      myimage:x86-latest \      
      myimage:arm-latest      

然后推送到注册表供不同架构设备拉取!       
注意需要登录具有manifest权限的仓库账号(docker login)。    

对于完整的CI/CD流程,可以考虑使用buildx工具链!
原创 高质量