Debian Docker 版本控制与管理

一 版本控制的范围与原则

• 区分两类对象：一是运行在 Debian 上的 Docker Engine 本身；二是基于 Debian 构建的 容器镜像/应用。前者用系统的 APT 与版本约束管理，后者用 Git 与 镜像标签 管理。
• 镜像标签采用 语义化版本（如 v1.2.3），并与镜像内 LABEL 元数据保持一致，便于追溯与审计。
• 生产环境避免使用 latest 标签，优先使用固定版本或带环境/架构后缀的标签（如 v1.2.3、v1.2.3-prod、v1.2.3-arm64）。

二 在 Debian 上管理 Docker Engine 版本

• 安装与升级（官方仓库）
  • 添加 GPG 与 APT 源（示例为 amd64）：
    • curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
    • echo “deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian $(lsb_release -cs) stable” | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
  • 更新索引并安装/升级：sudo apt update && sudo apt install docker-ce docker-ce-cli containerd.io
  • 安装指定版本：sudo apt install docker-ce= docker-ce-cli= containerd.io=
• 查询与卸载
  • 查看版本：docker --version；更详细信息：docker version
  • 列出候选版本：apt-cache policy docker-ce
  • 卸载指定版本：sudo apt-get remove docker-ce=<VERSION_STRING>
• 注意事项
  • 关注组件兼容性（如 Docker ≥ 20.10 通常需要 containerd ≥ 1.4）。
  • 升级前备份重要容器与镜像数据，生产环境先在测试环境验证。

三 容器镜像与代码的版本管理

• 语义化版本与标签策略
  • 标签格式：{项目}/{服务}:{版本}，如 myorg/web:v1.2.3；必要时增加 -rc/-beta、-amd64/-arm64 后缀。
  • 生产禁用 latest；为每次变更生成可追溯的 Git 标签（如 git tag v1.2.3）并与镜像标签一致。
• Dockerfile 变更与元数据
  • 在 Dockerfile 中使用 LABEL 记录版本与变更信息，便于审计与工具读取：
    • LABEL version=“1.2.3” release=“20250101”
  • 通过 Git Hooks（如 pre-commit）对 Dockerfile 与 Compose 文件做语法与规范校验，减少因变更引入的风险。
• 多阶段构建与中间产物
  • 中间阶段使用统一命名（如 builder、stage），仅对最终产物打业务版本标签，避免误用中间镜像。
• 示例流程
  • 代码与版本：git commit -m “feat: add healthcheck” && git tag v1.2.3
  • 构建与打标：docker build -t myorg/web:v1.2.3 .
  • 推送：docker push myorg/web:v1.2.3。

四 运行时的版本固定与回滚

• 在 docker-compose.yml 中固定镜像与可选 digest，避免“漂移”：
  • services:
    • web:
      • image: myorg/web:v1.2.3

      • 可选：锁定镜像摘要

      • image: myorg/web@sha256:

• 回滚操作
  • 快速回滚到上一稳定版本：docker-compose up -d --force-recreate --no-deps web
  • 或直接将镜像标签改为上一版本并重启：docker-compose up -d --force-recreate web
• 变更管控
  • 通过 Git 管理 Compose 文件与镜像标签，配合 PR 审核与变更说明，确保每次上线可追溯、可验证。

五 日常巡检与变更清单

• 版本巡检
  • 引擎版本：docker --version；docker version（含 API 版本）
  • 包版本与候选：apt-cache policy docker-ce
  • 远程 API 版本（无 CLI 时）：curl --unix-socket /var/run/docker.sock http://localhost/version
• 变更清单
  • 升级 Docker Engine 前：备份数据、核验依赖、先在测试环境验证
  • 镜像发布前：通过 Git 打标签、镜像 LABEL 与标签一致、禁用 latest、必要时锁定 digest
  • 上线后：记录变更、保留可回滚的镜像与 Compose 配置版本。