| 备注 | 修改日期 | 修改人 |
| 创建版本 | 2025-12-27 13:35:19[当前版本] | 文艺范儿 |
镜像管理: 使用多阶段构建减小镜像体积。 扫描镜像漏洞(如 Trivy)。
容器运行: 始终设置资源限制(--cpus/--memory)。 启用健康检查(--health-*)。存储卷(Volume)优先于 Bind Mount。
日志与监控: 集中日志收集(ELK/Fluent Bit)。 监控容器指标(cAdvisor + Prometheus)。
安全: 避免使用 --privileged。 以非 root 用户运行容器(--user 1001:1001)。
CI/CD Pipeline 设计
典型流程:
代码提交 → 静态扫描(SonarQube) → 镜像构建(Docker Buildx) → 漏洞扫描(Trivy) → 推送到私有 Registry → 部署到测试环境 → 集成测试 → 部署到生产环境
