Docker技巧

先说镜像优化吧。很多人Dockerfile里喜欢用这种连续命令，但其实每行RUN都会生成新镜像层。我后来改成了多阶段构建：先在一个阶段装依赖编译，另一个阶段只拷贝二进制文件。比如用Alpine镜像当基础，最后镜像大小能压到几十MB。另外，文件别忘了写，不然构建上下文一大，慢得跟蜗牛似的。我把、这些全忽略掉，构建速度直接快一倍。

容器日志也是个头疼事。默认日志驱动是json-file，时间一长能把磁盘写满。我一般改成或者加日志轮转：在里配置。要是用Docker Compose，直接在服务下加字段设置大小限制。还有个小窍门，用实时看最后50行日志，排查问题不用等。

网络配置经常被忽略。默认的bridge网络虽然能用，但容器间通信得靠IP。我习惯自定义个网络：，然后所有容器都连上去，直接用容器名就能互相访问。要是搞微服务，用Docker Compose定义网络更省心，服务名自动当域名用。遇到过端口冲突的话，可以试试改成，只绑定本地回环地址，安全不少。

数据卷管理得细心。用挂载宿主机目录时，权限问题经常报错。我后来改用命名卷：，再挂载到容器，既避免权限坑，还方便备份。要是真需要宿主机目录，记得加只读挂载，防止容器乱改文件。备份卷直接用，简单粗暴。

健康检查现在成了我必配项。在Dockerfile里加，或者Compose文件里定义测试命令。这样能看到容器健康状态，自动重启失败的服务。结合条件启动，服务依赖关系明明白白。

最后提个安全细节：别用root用户跑容器！Dockerfile里加或者专门建个非特权用户。镜像漏洞扫描可以用，Docker Desktop自带的，能扫出CVE漏洞列表。还有构建时用防止权限升级，虽然麻烦点，但生产环境值得搞。

这些技巧大部分都是踩坑总结出来的，可能不全面，但绝对实战。Docker这东西越用越觉得像拼乐高，零件就那些，组合方式千变万化。关键是养成习惯，每次写Dockerfile前多想想还有没有优化空间。好了，要是你们有其他骚操作，欢迎评论区交流哈。