Debian下Docker配置怎样

Debian 下 Docker 配置指南

一 安装与启动

• 更新系统并安装依赖
  • sudo apt update && sudo apt install -y apt-transport-https ca-certificates curl gnupg lsb-release
• 导入官方 GPG 密钥（使用 keyring 方式）
  • sudo install -m 0755 -d /etc/apt/keyrings
  • curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
• 添加 Docker APT 源（自动匹配架构与版本代号）
  • echo “deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian $(lsb_release -cs) stable” | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
• 安装 Docker 引擎与 CLI
  • sudo apt update
  • sudo apt install -y docker-ce docker-ce-cli containerd.io
• 启动并设置开机自启
  • sudo systemctl start docker
  • sudo systemctl enable docker
• 验证安装
  • docker version
  • docker info
  • 可选运行测试镜像：docker run --rm hello-world 以上步骤适用于 Debian 11/12，采用官方仓库与签名校验，安全性更高。

二 常用配置与优化

• 配置镜像加速器（可选，提升拉取速度）
  • 编辑 /etc/docker/daemon.json（如不存在则创建）： { “registry-mirrors”: [ “https://<你的专属加速器地址>.mirror.aliyuncs.com”, “https://mirror.ccs.tencentyun.com” ] }
  • 使配置生效：sudo systemctl daemon-reload && sudo systemctl restart docker
  • 说明：镜像加速对 docker pull 有效，对 docker search 不生效。
• 日志与存储驱动（生产常用）
  • 编辑 /etc/docker/daemon.json： { “log-driver”: “json-file”, “log-opts”: { “max-size”: “10m”, “max-file”: “3” }, “storage-driver”: “overlay2” }
  • 使配置生效：sudo systemctl restart docker
• 用户免 sudo 使用 Docker
  • sudo usermod -aG docker $USER（需注销并重新登录后生效）
• systemd 套接字激活（可选，按需启用）
  • 可配置 systemd 以套接字方式管理 Docker，减少常驻占用；适合资源较紧张的环境。 以上配置项覆盖镜像加速、日志轮转、存储驱动与用户权限，满足大多数场景需求。

三 日常管理与常用命令

• 容器生命周期
  • 运行并后台启动：docker run -d --name web -p 80:80 nginx
  • 查看运行容器：docker ps
  • 查看全部容器：docker ps -a
  • 进入容器：docker exec -it web bash
  • 查看日志：docker logs -f web
  • 停止/启动/删除：docker stop|start|rm web
• 镜像管理
  • 拉取/查看/删除：docker pull ubuntu；docker images；docker rmi ubuntu:latest
• 服务与资源
  • 查看服务状态：sudo systemctl status docker
  • 查看系统信息：docker info
  • 资源监控：docker stats 以上命令覆盖容器与镜像的常用操作，足以完成日常开发与运维任务。

四 安全与网络建议

• 最小权限与镜像安全
  • 避免使用 --privileged；按需使用更细粒度的能力（–cap-add/–cap-drop）
  • 优先使用可信基础镜像与可信仓库，定期更新镜像与主机
• 网络与端口
  • 仅暴露必要端口；在防火墙（如 UFW/nftables）中限制来源 IP
  • 公网环境谨慎映射 Docker 守护进程端口，避免将 2375/2376 暴露到公网
• 数据与备份
  • 将重要数据挂载到卷或绑定挂载；定期备份 /var/lib/docker（含镜像与容器层）
• 日志与合规
  • 合理设置日志轮转，避免磁盘被日志打满；集中收集与审计关键容器日志 这些实践有助于降低攻击面并提升可运维性与合规性。