一、镜像仓库管理：构建与分发的基础

1.1 镜像构建与优化

Docker镜像作为容器运行的基础，其构建质量直接影响部署效率。推荐采用分层构建策略，将应用代码、依赖库、配置文件分离，利用Dockerfile的COPY和RUN指令实现增量更新。例如，构建一个Python Flask应用的镜像时，可先安装基础依赖，再单独复制应用代码，避免每次代码修改都重新安装依赖。

优化技巧包括：

• 多阶段构建：通过多个FROM指令分离构建环境和运行环境，减少最终镜像体积。例如，先使用golang:alpine编译Go程序，再切换到alpine镜像仅复制二进制文件。
• 镜像扫描：使用docker scan或第三方工具（如Trivy）检测镜像中的漏洞，确保安全性。

1.2 私有仓库部署

对于企业级应用，私有镜像仓库（如Harbor、Nexus）是必备工具。Harbor支持RBAC权限控制、镜像复制和漏洞扫描，适合多团队协作。部署Harbor时，需配置HTTPS证书和持久化存储（如NFS），确保数据安全。

操作示例：

# 下载Harbor安装包
wget https://github.com/goharbor/harbor/releases/download/v2.6.0/harbor-online-installer-v2.6.0.tgz
# 修改harbor.yml配置文件，设置hostname和https证书路径
# 执行安装
./install.sh

1.3 镜像标签与版本管理

合理的标签策略（如<应用名>:<版本>-<环境>）便于追踪镜像版本。例如，web-app:1.0.0-prod表示生产环境的1.0.0版本。通过docker tag和docker push命令将镜像推送到仓库。

二、容器多参数运行：灵活性与性能优化

2.1 资源限制与调度

Docker支持通过--cpus、--memory等参数限制容器资源，避免单个容器占用过多资源。例如：

docker run -d --name web --cpus=1.5 --memory=512m nginx

结合Kubernetes的ResourceQuota和LimitRange，可实现更细粒度的资源管理。

2.2 环境变量与配置注入

通过-e参数或--env-file注入环境变量，实现动态配置。例如，配置数据库连接：

docker run -d --name app -e DB_HOST=db.example.com -e DB_PORT=3306 my-app

对于复杂配置，可使用ConfigMap或Secret（K8s）或挂载配置文件（Docker）。

2.3 网络模式选择

Docker提供多种网络模式：

• Bridge模式：默认模式，容器通过虚拟网桥通信。
• Host模式：容器直接使用宿主机网络，适合高性能场景，但牺牲了隔离性。
• Overlay网络：适用于多主机场景（如Swarm或K8s），实现跨主机通信。

示例：使用Host模式运行Nginx：

docker run -d --name nginx --network host nginx

三、Nginx服务配置：从基础到高级

3.1 基础配置与静态服务

Nginx配置文件通常位于/etc/nginx/nginx.conf或/etc/nginx/conf.d/。一个简单的静态网站配置如下：

server {
    listen 80;
    server_name example.com;
    root /usr/share/nginx/html;
    index index.html;
}

通过docker run挂载本地目录实现动态内容更新：

docker run -d --name web -p 80:80 -v /path/to/html:/usr/share/nginx/html nginx

3.2 负载均衡与反向代理

Nginx可作为反向代理，将请求分发到后端服务。例如，代理到两个Tomcat实例：

upstream tomcat_servers {
    server tomcat1:8080;
    server tomcat2:8080;
}
server {
    listen 80;
    location / {
        proxy_pass http://tomcat_servers;
    }
}

通过least_conn或ip_hash策略优化负载均衡。

3.3 SSL/TLS配置

使用Let’s Encrypt免费证书配置HTTPS：

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;
    # 其他配置...
}

通过certbot自动管理证书：

certbot certonly --nginx -d example.com

四、正反向代理原理与实战

4.1 正向代理：隐藏客户端

正向代理代表客户端访问服务器，常用于访问控制或缓存。例如，配置Squid正向代理：

docker run -d --name proxy -p 3128:3128 sameersbn/squid

客户端配置代理地址为宿主机IP:3128。

4.2 反向代理：隐藏服务端

反向代理接收客户端请求，转发到内部服务，隐藏后端架构。Nginx反向代理配置如3.2节所示，适用于微服务架构。

4.3 CDN与边缘计算

结合Nginx和GeoIP模块，可实现CDN功能。例如，根据用户地理位置返回最近的服务节点：

geo $country {
    default us;
    CN cn;
    JP jp;
}
server {
    listen 80;
    location / {
        proxy_pass http://${country}_server;
    }
}

五、总结与最佳实践

1. 镜像管理：采用分层构建、多阶段构建和私有仓库，确保镜像安全和高效分发。
2. 容器运行：合理设置资源限制、环境变量和网络模式，优化性能和灵活性。
3. Nginx配置：从静态服务到负载均衡，再到SSL/TLS和CDN，覆盖全场景需求。
4. 代理原理：理解正反向代理的区别，灵活应用于访问控制和架构隐藏。

通过以上实战指南，开发者可快速掌握Docker容器化部署的核心技能，提升应用交付效率和质量。