Docker 与 Kubernetes 部署最佳实践指南

更新时间：2026年04月28日 09:38:39 作者：程序员鸭梨

本文介绍了Docker与Kubernetes部署的最佳实践,涵盖Dockerfile优化、镜像管理、容器运行、Kubernetes部署配置、服务配置、配置管理、存储管理、网络配置、CI/CD集成、监控与日志、安全最佳实践、性能优化、实际应用场景及未来发展趋势

容器化和容器编排已经成为现代应用部署的标准方式。Docker 和 Kubernetes 作为容器技术的代表，为应用的部署、管理和扩展提供了强大的支持。本文将详细介绍 Docker 与 Kubernetes 部署的最佳实践，帮助你构建高效、可靠、可扩展的容器化应用。

1. Docker 最佳实践

1.1 Dockerfile 优化

1.1.1 基础镜像选择

使用官方镜像：优先使用官方提供的基础镜像
选择合适的版本：明确指定镜像版本，避免使用 latest 标签
使用 Alpine 镜像：对于生产环境，考虑使用 Alpine 镜像减少镜像大小

# 推荐使用方式
FROM openjdk:21-jdk-slim
# 不推荐使用方式
FROM openjdk:latest

1.1.2 镜像层数优化

合并 RUN 命令：使用 && 合并多个 RUN 命令，减少镜像层数
清理临时文件：在同一层清理临时文件，避免镜像体积增大
使用 .dockerignore：排除不必要的文件，减少构建上下文

# 优化前
FROM openjdk:21-jdk-slim
RUN apt-get update
RUN apt-get install -y curl
RUN rm -rf /var/lib/apt/lists/*
# 优化后
FROM openjdk:21-jdk-slim
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*

1.1.3 多阶段构建

使用多阶段构建分离构建和运行环境，减少最终镜像体积：

# 构建阶段
FROM maven:3.8.6-openjdk-11-slim AS build
WORKDIR /app
COPY . .
RUN mvn clean package -DskipTests
# 运行阶段
FROM openjdk:11-jre-slim
WORKDIR /app
COPY --from=build /app/target/myapp.jar /app/
EXPOSE 8080
CMD ["java", "-jar", "/app/myapp.jar"]

1.2 镜像管理

1.2.1 镜像标签策略

使用语义化版本：如 v1.0.0、v1.0.1 等
使用 git commit hash：确保镜像与代码版本对应
避免使用 latest 标签：latest 标签容易导致版本不一致

1.2.2 镜像扫描

集成安全扫描：使用 Trivy、Clair 等工具扫描镜像漏洞
定期更新基础镜像：及时修复基础镜像中的安全漏洞
建立镜像扫描流程：将镜像扫描集成到 CI/CD 流程中

1.3 容器运行最佳实践

1.3.1 运行非 root 用户

创建非 root 用户：在 Dockerfile 中创建非 root 用户
设置适当的权限：限制容器的权限范围
使用只读文件系统：对于不需要写入的容器，使用只读文件系统

FROM openjdk:21-jdk-slim
RUN groupadd -r app && useradd -r -g app app
USER app
WORKDIR /app
COPY --chown=app:app target/myapp.jar /app/
EXPOSE 8080
CMD ["java", "-jar", "/app/myapp.jar"]

1.3.2 资源限制

设置内存限制：避免容器占用过多内存
设置 CPU 限制：避免容器占用过多 CPU 资源
设置重启策略：根据需要设置适当的重启策略

# 运行容器时设置资源限制
docker run --name myapp --memory=1g --cpus=1 -d myapp:latest

2. Kubernetes 最佳实践

2.1 部署配置

2.1.1 部署规范

使用 Deployment：对于无状态应用，使用 Deployment 进行部署
使用 StatefulSet：对于有状态应用，使用 StatefulSet 进行部署
使用 DaemonSet：对于需要在每个节点上运行的应用，使用 DaemonSet
使用 CronJob：对于定时任务，使用 CronJob

2.1.2 资源配置

设置资源请求：为容器设置合理的资源请求
设置资源限制：为容器设置合理的资源限制
使用 Horizontal Pod Autoscaler：根据负载自动调整 Pod 数量

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  replicas: 3
  template:
    spec:
      containers:
      - name: myapp
        image: myapp:latest
        resources:
          requests:
            cpu: "500m"
            memory: "512Mi"
          limits:
            cpu: "1"
            memory: "1Gi"

2.1.3 健康检查

配置就绪探针：确保 Pod 就绪后才接收流量
配置存活探针：确保 Pod 健康运行
配置启动探针：对于启动较慢的应用，使用启动探针

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  template:
    spec:
      containers:
      - name: myapp
        image: myapp:latest
        readinessProbe:
          httpGet:
            path: /actuator/health
            port: 8080
          initialDelaySeconds: 30
          periodSeconds: 10
        livenessProbe:
          httpGet:
            path: /actuator/health
            port: 8080
          initialDelaySeconds: 60
          periodSeconds: 30

2.2 服务配置

2.2.1 服务类型

ClusterIP：用于集群内部通信
NodePort：用于从集群外部访问应用
LoadBalancer：用于云环境中从外部访问应用
ExternalName：用于将服务映射到外部域名

2.2.2 服务发现

使用 DNS：通过服务名称进行服务发现
使用环境变量：通过环境变量进行服务发现
使用 Service Mesh：使用 Istio 等服务网格进行服务发现和管理

2.3 配置管理

2.3.1 ConfigMap

使用 ConfigMap：存储非敏感配置
环境变量注入：通过环境变量注入配置
卷挂载：通过卷挂载注入配置

apiVersion: v1
kind: ConfigMap
metadata:
  name: myapp-config
data:
  application.properties: |
    server.port=8080
    spring.datasource.url=jdbc:mysql://mysql:3306/mydb
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  template:
    spec:
      containers:
      - name: myapp
        image: myapp:latest
        volumeMounts:
        - name: config
          mountPath: /app/config
      volumes:
      - name: config
        configMap:
          name: myapp-config

2.3.2 Secret

使用 Secret：存储敏感配置
使用环境变量注入：通过环境变量注入 Secret
使用卷挂载：通过卷挂载注入 Secret
考虑使用 Vault：对于更复杂的密钥管理，考虑使用 HashiCorp Vault

apiVersion: v1
kind: Secret
metadata:
  name: myapp-secret
type: Opaque
data:
  username: YWRtaW4=
  password: cGFzc3dvcmQ=
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  template:
    spec:
      containers:
      - name: myapp
        image: myapp:latest
        env:
        - name: DB_USERNAME
          valueFrom:
            secretKeyRef:
              name: myapp-secret
              key: username
        - name: DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: myapp-secret
              key: password

2.4 存储管理

2.4.1 持久卷

使用 PersistentVolume：为应用提供持久存储
使用 PersistentVolumeClaim：申请持久存储
选择合适的存储类：根据应用需求选择合适的存储类

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: myapp-pvc
spec:
  accessModes:
  - ReadWriteOnce
  resources:
    requests:
      storage: 10Gi
  storageClassName: standard
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  template:
    spec:
      containers:
      - name: myapp
        image: myapp:latest
        volumeMounts:
        - name: data
          mountPath: /app/data
      volumes:
      - name: data
        persistentVolumeClaim:
          claimName: myapp-pvc

2.5 网络配置

2.5.1 网络策略

使用 NetworkPolicy：限制 Pod 之间的网络通信
默认拒绝策略：设置默认拒绝所有流量，然后根据需要允许特定流量
考虑使用 CNI：选择合适的 CNI 插件，如 Calico、Flannel 等

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: myapp-network-policy
spec:
  podSelector:
    matchLabels:
      app: myapp
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: mysql
    ports:
    - protocol: TCP
      port: 3306

3. CI/CD 集成

3.1 持续集成

使用 Jenkins：自动化构建和测试
使用 GitLab CI：与 GitLab 集成的 CI 系统
使用 GitHub Actions：与 GitHub 集成的 CI 系统
使用 CircleCI：云原生 CI 系统

3.2 持续部署

使用 Helm：管理 Kubernetes 应用的包管理工具
使用 Kustomize：定制 Kubernetes 配置
使用 Argo CD：GitOps 风格的持续部署工具
使用 Flux CD：GitOps 风格的持续部署工具

3.3 部署策略

滚动更新：默认的部署策略，逐步更新 Pod
蓝绿部署：同时运行两个版本，切换流量
金丝雀发布：逐步将流量导向新版本
A/B 测试：根据用户群体测试不同版本

4. 监控与日志

4.1 监控

使用 Prometheus：监控系统和应用指标
使用 Grafana：可视化监控数据
使用 Alertmanager：处理告警
使用 Kubernetes Metrics Server：提供资源使用指标

4.2 日志

使用 ELK Stack：Elasticsearch、Logstash、Kibana 处理日志
使用 Loki：轻量级日志聚合系统
使用 Fluentd：日志收集和转发
使用结构化日志：使用 JSON 格式的结构化日志

4.3 分布式追踪

使用 Jaeger：分布式追踪系统
使用 Zipkin：分布式追踪系统
使用 OpenTelemetry：统一的可观察性框架

5. 安全最佳实践

5.1 容器安全

最小权限原则：使用非 root 用户运行容器
只读文件系统：设置容器文件系统为只读
网络隔离：使用 NetworkPolicy 隔离网络
镜像扫描：使用 Trivy 或 Clair 扫描镜像漏洞
Secret 管理：使用 Kubernetes Secret 或 HashiCorp Vault 管理敏感信息

5.2 集群安全

RBAC：使用基于角色的访问控制
Pod Security Policy：限制 Pod 的安全上下文
NetworkPolicy：限制网络通信
TLS 加密：启用 TLS 加密通信
定期更新：定期更新 Kubernetes 版本和组件

6. 性能优化

6.1 应用优化

内存优化：合理设置 JVM 内存参数
GC 调优：选择合适的 GC 算法并调优
连接池：使用 HikariCP 等高性能连接池
缓存：使用本地缓存和分布式缓存
异步处理：使用 CompletableFuture 或消息队列进行异步处理

6.2 容器优化

资源限制：设置合理的 CPU 和内存限制
水平扩展：根据负载自动水平扩展
垂直扩展：根据需要垂直扩展容器资源
镜像优化：减少镜像大小，提高启动速度

6.3 网络优化

网络策略：优化 Kubernetes 网络策略
服务网格：使用 Istio 等服务网格优化服务间通信
CDN：使用 CDN 加速静态资源访问
连接复用：使用 HTTP/2 或 gRPC 复用连接

7. 实际应用场景

7.1 微服务部署

服务拆分：将应用拆分为微服务
容器化：使用 Docker 容器化每个服务
编排：使用 Kubernetes 编排容器
服务发现：使用 Kubernetes 服务发现
负载均衡：使用 Kubernetes 负载均衡

7.2 大数据处理

使用 StatefulSet：部署有状态的大数据组件
使用 PersistentVolume：为大数据组件提供持久存储
使用 DaemonSet：在每个节点上部署数据采集组件
使用 CronJob：运行定时数据处理任务

7.3 机器学习应用

使用 GPU 节点：为机器学习任务提供 GPU 支持
使用 StatefulSet：部署有状态的机器学习模型
使用 PersistentVolume：存储训练数据和模型
使用 CronJob：运行定时模型训练任务

8. 最佳实践总结

8.1 Docker 最佳实践

优化 Dockerfile：使用多阶段构建，减少镜像层数
管理镜像：使用语义化版本，定期扫描镜像漏洞
运行容器：使用非 root 用户，设置资源限制

8.2 Kubernetes 最佳实践

配置部署：使用合适的资源配置，设置健康检查
管理服务：选择合适的服务类型，配置服务发现
配置管理：使用 ConfigMap 和 Secret 管理配置
存储管理：使用 PersistentVolume 提供持久存储
网络配置：使用 NetworkPolicy 限制网络通信

8.3 CI/CD 最佳实践

自动化：使用 CI/CD 工具自动化构建和部署
部署策略：选择合适的部署策略，如滚动更新、蓝绿部署等
GitOps：使用 GitOps 风格的部署工具

8.4 监控与日志最佳实践

监控系统：使用 Prometheus 和 Grafana 监控系统
日志管理：使用 ELK Stack 或 Loki 管理日志
分布式追踪：使用 Jaeger 或 Zipkin 进行分布式追踪

8.5 安全最佳实践

容器安全：使用非 root 用户，只读文件系统，网络隔离
集群安全：使用 RBAC，Pod Security Policy，NetworkPolicy
定期更新：定期更新 Kubernetes 版本和组件

这其实可以更优雅一点

Docker 与 Kubernetes 部署的最佳实践，让部署过程变得更加优雅：

自动化：通过 CI/CD 自动化部署过程
标准化：使用 Helm 或 Kustomize 标准化部署配置
可观测性：通过监控、日志和追踪实现全面的可观测性
安全性：多层安全措施确保系统安全
弹性：通过水平扩展和健康检查提高系统弹性

9. 未来发展趋势

9.1 无服务器容器

Knative：基于 Kubernetes 的无服务器平台
OpenFaaS：函数即服务平台
AWS Fargate：无服务器容器服务

9.2 服务网格

Istio：服务网格平台
Linkerd：轻量级服务网格
Consul Connect：服务网格功能

9.3 GitOps

Argo CD：GitOps 风格的持续部署工具
Flux CD：GitOps 风格的持续部署工具
GitHub Actions：与 GitHub 集成的 CI/CD 工具

9.4 多集群管理

Cluster API：声明式集群管理
Kubernetes Federation：多集群管理
Anthos：Google 的混合云平台

10. 总结

Docker 与 Kubernetes 已经成为现代应用部署的标准工具。通过采用本文介绍的最佳实践，你可以构建更高效、更可靠、更可扩展的容器化应用。

记住，容器化和容器编排是一个持续演进的领域。随着技术的发展，新的工具和实践会不断出现。因此，我们需要不断学习和适应新的技术，才能构建出真正符合云原生理念的应用。

通过本文介绍的最佳实践，你可以开始构建你的容器化应用，充分利用 Docker 和 Kubernetes 的优势，为用户提供更好的服务。

到此这篇关于Docker 与 Kubernetes 部署最佳实践指南的文章就介绍到这了,更多相关Docker 与 Kubernetes 部署内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

docker中通过nginx+confd动态生成配置的解决方案
这篇文章主要介绍了docker:nginx+confd动态生成配置,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-03-03
Docker Compose部署Nginx的方法步骤
本文主要介绍了Docker Compose部署Nginx的方法步骤，文中通过示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-02-02
Docker安装Nginx并修改Nginx配置文件的方法详解
这篇文章主要给大家介绍了关于Docker安装Nginx并修改Nginx配置文件的相关资料,文中通过实例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2023-02-02
docker打包node项目的过程讲解
今天小编就为大家分享一篇关于docker打包node项目的过程讲解，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2019-03-03
Docker数据卷持久化存储的实现
Docker的数据卷机制通过抽象的存储层设计,完美解决了容器生命周期与数据生命周期解耦的问题,下面就来介绍一下Docker数据卷持久化存储的实现,感兴趣的可以了解一下
2025-09-09
Centos-docker文件迁移的解决办法
Docker镜像默认存放在系统的根目录下,可能会导致根目录空间不足或其他风险,为了避免这些问题,可以将Docker镜像的存储位置更改到其他磁盘,本文介绍Centos-docker文件迁移的解决办法,感兴趣的朋友跟随小编一起看看吧
2024-09-09
docker安装tomcat8的实现方法
这篇文章主要介绍了docker安装tomcat8的实现方法，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-02-02
Docker命令行与守护进程的交互方法
这篇文章主要介绍了Docker命令行与守护进程的交互方法的相关资料,需要的朋友可以参考下
2017-06-06
Docker安装oracle数据库最新版教程
这篇文章主要介绍了如何在Docker中安装和配置Oracle 11g数据库,包括安装Docker、拉取Oracle镜像、创建容器、进入容器配置、设置环境变量、创建软连接、修改用户密码、重启数据库以及使用Navicat进行连接测试,需要的朋友可以参考下
2025-02-02
Docker Volume存储卷的实现
Docker的存储卷是一种将宿主机的本地文件系统中的某个目录与容器内部的文件系统中的某个目录建立绑定关系的机制,下面就来介绍一下,感兴趣的可以了解一下
2024-12-12