镜像管理: 使用多阶段构建减小镜像体积。 扫描镜像漏洞(如 Trivy)。
容器运行: 始终设置资源限制(--cpus/--memory)。 启用健康检查(--health-*)。存储卷(Volume)优先于 Bind Mount。
日志与监控: 集中日志收集(ELK/Fluent Bit)。 监控容器指标(cAdvisor + Prometheus)。
安全: 避免使用 --privileged。 以非 root 用户运行容器(--user 1001:1001)。
CI/CD Pipeline 设计
典型流程:
代码提交 → 静态扫描(SonarQube) → 镜像构建(Docker Buildx) → 漏洞扫描(Trivy) → 推送到私有 Registry → 部署到测试环境 → 集成测试 → 部署到生产环境
