生产环境 Docker 部署需兼顾安全性、可观测性、可维护性与一致性,构建轻量不可变镜像、运行最小权限容器、声明式编排、一体化可观测体系,并持续扫描与合规校验。
生产环境中使用 Docker 部署应用,不能只满足于“能跑起来”,而需兼顾安全性、可观测性、可维护性与一致性。核心是把镜像构建、容器运行、服务编排和运维保障形成一套可复用、可审计、可自动化的标准流程。
镜像构建:轻量、确定、不可变
生产镜像必须基于可信基础镜像(如 distroless 或官方 slim 版本),禁用 root 用户,多阶段构建清理编译依赖,固定依赖版本(如 pip install -r requirements.txt –no-deps –force-reinstall),禁止在镜像中写入运行时配置或敏感信息。
- 使用 Dockerfile 中的 ARG 指定构建参数 ,但不用于传入密码或密钥
- 镜像标签采用语义化版本 + Git SHA(如 v1.2.0-8a3f9c1),避免使用 latest
- 通过 SBOM(软件物料清单) 和 镜像签名(Cosign) 实现溯源与完整性校验
容器运行:最小权限、资源可控、健康就绪
容器不是虚拟机,应以单进程模型运行主应用,禁止启动 supervisord 或 systemd。必须设置 CPU / 内存 limit 和 request(尤其在 Kubernetes 环境),启用非 root 用户(USER 1001),关闭不必要的 capabilities(如 NET_RAW),挂载只读文件系统(/etc、/usr 等)。
- 定义 livenessProbe 检查进程存活(如 HTTP GET /healthz),readinessProbe 确保服务真正就绪(如连接数据库成功)
- 日志输出到 stdout/stderr,不落盘;禁止在容器内持久化数据(如 SQLite 文件、上传临时目录)
- 通过 seccomp / AppArmor / SELinux 策略进一步限制系统调用(如禁用 mount、ptrace)
部署编排:声明式、分环境、带回滚能力
生产部署必须脱离手工 docker run,统一使用声明式编排工具(Kubernetes YAML 或 Docker Compose v2+ production profile)。环境差异(dev/staging/prod)通过外部配置注入(ConfigMap / Secret / env_file),而非构建时硬编码。
- 所有部署清单纳入 Git 仓库,配合 CI 流水线自动触发(如推送 tag → 构建镜像 → 扫描漏洞 → 更新 K8s Deployment)
- 滚动更新策略设置 maxSurge=1、maxUnavailable=0,保障零停机;同时保留至少 3 个历史 ReplicaSet 以便快速回滚
- Secret 不明文写入 YAML,使用 Kubernetes External Secrets 或 HashiCorp Vault Agent 动态注入
可观测与运维:日志、指标、追踪一体化
容器天生无状态,但可观测性必须有状态——日志聚合、指标采集、分布式追踪三者缺一不可。所有组件需默认暴露标准格式接口(Prometheus metrics path、OpenTelemetry trace headers)。
- 日志统一 JSON 格式输出(含 service_name、trace_id、timestamp),由 Fluentd / Vector 收集至 Loki / ELK
- 应用内嵌 Prometheus client,暴露 /metrics 接口;基础设施层(cAdvisor、node-exporter)补全主机维度指标
- 接入 OpenTelemetry SDK,自动注入 trace context,后端对接 Jaeger / Tempo / New Relic
不复杂但容易忽略:每次部署前执行镜像漏洞扫描(Trivy / Snyk)、策略合规检查(OPA/Gatekeeper)、以及冒烟测试(curl -f http://service:port/readyz)。标准不是一成不变的清单,而是随组织成熟度持续演进的工程习惯。
