使用京东云主机部署Docker应用有哪些注意事项？-云小栈

在京东云主机上部署 Docker 应用时，为确保系统稳定、安全和高效运行，需要注意以下几个关键方面：

选择合适的操作系统
- 推荐使用 CentOS 7/8、Ubuntu 18.04/20.04 等主流 Linux 发行版。
- 确保系统内核版本较新（建议 ≥ 3.10），以支持 Docker 的所有功能。
关闭或配置 SELinux / 防火墙（如适用）
- SELinux 可能影响容器权限，可设置为 permissive 模式或根据需要调整策略。
- 使用 firewalld 或 iptables 时，确保开放必要的端口（如应用端口、Docker API 端口等）。

正确安装 Docker
- 使用官方推荐方式安装（通过 yum 或 apt 添加 Docker 官方仓库）。
- 避免使用过时的 docker.io 包。
```
# 示例：Ubuntu 上添加 Docker 仓库
curl -fsSL https://get.docker.com | sh
```

启动并设置开机自启

sudo systemctl enable docker
sudo systemctl start docker

配置 Docker 存储驱动
- 默认使用 overlay2，确保文件系统支持（如 ext4、xfs）。
- 如需更改存储路径，可通过 /etc/docker/daemon.json 配置。
配置镜像提速器（提升国内拉取速度）
- 编辑 /etc/docker/daemon.json，添加京东云或其他国内镜像源：
```
{
  "registry-mirrors": ["https://your-mirror.mirror.jcr.jdcloud.com"]
}
```
- 注册并获取京东云容器镜像服务（JCR）的私有镜像提速地址。

避免使用 root 用户直接运行容器
- 在 Dockerfile 中使用 USER 指令切换非 root 用户。
- 启动容器时限制权限：--user、--read-only、no-new-privileges。
限制容器资源
- 使用 -m（内存）、--cpus 等参数防止资源耗尽。
- 示例：
```
docker run -d --memory=512m --cpus=1 myapp:latest
```
不要暴露 Docker Daemon API
- 避免绑定 tcp://0.0.0.0:2375，除非有安全认证机制（如 TLS）。
定期更新镜像和基础系统
- 使用可信的基础镜像（如 alpine、ubuntu:focal）。
- 扫描镜像漏洞（可用 trivy、clair 等工具）。

合理映射端口
- 使用 -p host_port:container_port 映射必要端口。
- 避免端口冲突，特别是多个应用共存时。
配置京东云安全组
- 在京东云控制台中，为云主机配置安全组规则，仅开放必要的入站端口（如 80、443、自定义应用端口）。
- 禁止不必要的 SSH 网络访问（可限制 IP 段）。

使用 Volume 或 Bind Mount 持久化数据
- 数据库、配置文件等应挂载到主机目录或使用 Docker Volume。
- 示例：
```
docker run -v /host/data:/container/data mydb
```

配置日志驱动与轮转

避免日志无限增长，可在 daemon.json 中配置：

{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3"
  }
}

监控容器状态
- 使用 docker ps、docker stats 查看运行状态。
- 集成 Prometheus + Grafana 或京东云监控服务进行长期监控。
自动化部署与编排（可选）
- 小型应用可使用 docker-compose.yml 管理多容器。
- 大规模部署建议使用 Kubernetes（京东云提供 JD Cloud K8S 服务）。

通过以上措施，可以在京东云主机上安全、高效地部署和运行 Docker 应用。建议结合京东云文档和最佳实践持续优化部署方案。