CentOS容器运行部署详解从环境搭建到服务上线的完整流程与注意事项及性能优化技巧

威震华夏关云长

引言

CentOS作为企业级Linux发行版，在服务器领域有着广泛的应用。随着容器技术的兴起，将CentOS应用容器化部署已成为现代运维和开发的重要技能。容器化部署不仅能提高资源利用率，还能简化应用管理和迁移过程。本文将详细介绍在CentOS系统上进行容器运行部署的完整流程，从环境搭建到服务上线，并分享其中的注意事项和性能优化技巧。

环境搭建

系统要求与准备

在开始CentOS容器部署之前，需要确保系统满足以下基本要求：

• CentOS 7或更高版本（推荐使用CentOS 7/8/Stream）
• 至少2GB RAM（推荐4GB以上）
• 足够的磁盘空间（至少20GB可用空间）
• 稳定的网络连接
• 具有sudo权限的用户账户

首先，更新系统到最新状态：

2. sudo yum update -y

复制代码

安装容器运行时

CentOS支持多种容器运行时，最常用的是Docker和Podman。下面分别介绍这两种运行时的安装方法。

1. 安装必要的软件包：

2. sudo yum install -y yum-utils device-mapper-persistent-data lvm2

复制代码

1. 添加Docker仓库：

2. sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

复制代码

1. 安装Docker CE：

2. sudo yum install -y docker-ce docker-ce-cli containerd.io

复制代码

1. 启动Docker服务并设置开机自启：

2. sudo systemctl start docker
3. sudo systemctl enable docker

复制代码

1. 验证Docker安装：

2. sudo docker run hello-world

复制代码

Podman是Red Hat系系统（包括CentOS）推荐的容器管理工具，它无需守护进程，更加安全。

1. 安装Podman：

2. sudo yum install -y podman

复制代码

1. 验证Podman安装：

2. podman run hello-world

复制代码

配置容器存储

容器镜像和容器本身会占用大量存储空间，合理配置存储非常重要。

1. 创建专用的存储分区（可选）：

2. # 假设新磁盘为/dev/sdb
3. sudo fdisk /dev/sdb  # 创建分区
4. sudo mkfs.xfs /dev/sdb1  # 格式化为XFS文件系统
5. sudo mkdir -p /var/lib/containers
6. sudo mount /dev/sdb1 /var/lib/containers
7. echo "/dev/sdb1 /var/lib/containers xfs defaults 0 0" | sudo tee -a /etc/fstab

复制代码

1. 为Docker配置存储驱动（如果使用Docker）：

2. sudo mkdir -p /etc/docker
3. cat <<EOF | sudo tee /etc/docker/daemon.json
4. {
5.   "storage-driver": "overlay2",
6.   "graph": "/var/lib/containers/docker"
7. }
8. EOF
9. sudo systemctl restart docker

复制代码

网络配置

容器网络是容器化部署的重要组成部分。根据需求选择合适的网络配置。

1. 检查网络插件状态：

2. # 对于Docker
3. sudo docker network ls
5. # 对于Podman
6. podman network ls

复制代码

1. 创建自定义网络（示例）：

2. # Docker
3. sudo docker network create --driver bridge --subnet=192.168.100.0/24 my-network
5. # Podman
6. podman network create --driver bridge --subnet=192.168.100.0/24 my-network

复制代码

1. 配置防火墙规则：

2. sudo firewall-cmd --permanent --zone=public --add-masquerade
3. sudo firewall-cmd --reload

复制代码

容器基础

容器技术概述

容器是一种轻量级的虚拟化技术，它允许应用程序在隔离的环境中运行，共享主机操作系统的内核。与传统的虚拟机相比，容器具有以下优势：

• 更快的启动速度
• 更少的资源消耗
• 更高的部署密度
• 更好的可移植性

CentOS上的容器技术选择

在CentOS上，主要有以下几种容器技术选择：

1. Docker：最流行的容器平台，提供完整的容器生态系统。
2. Podman：无守护进程的容器引擎，兼容Docker CLI。
3. Buildah：专门用于构建OCI兼容容器的工具。
4. Skopeo：用于复制、检查、签名和修改容器镜像的工具。

容器镜像基础

容器镜像是容器运行的基础，它包含运行应用程序所需的所有依赖和配置。

1. 拉取CentOS官方镜像：

2. # Docker
3. sudo docker pull centos:centos7
5. # Podman
6. podman pull centos:centos7

复制代码

1. 查看本地镜像：

2. # Docker
3. sudo docker images
5. # Podman
6. podman images

复制代码

1. 构建自定义镜像（以Dockerfile为例）：

2. # 使用CentOS 7作为基础镜像
3. FROM centos:centos7
5. # 维护者信息
6. MAINTAINER Your Name <your.email@example.com>
8. # 安装必要的软件包
9. RUN yum update -y && \
10.     yum install -y httpd && \
11.     yum clean all
13. # 复制网站文件到容器
14. COPY ./website /var/www/html/
16. # 暴露80端口
17. EXPOSE 80
19. # 启动Apache服务
20. CMD ["/usr/sbin/httpd", "-D", "FOREGROUND"]

复制代码

构建镜像：

2. # Docker
3. sudo docker build -t my-centos-web:latest .
5. # Podman
6. podman build -t my-centos-web:latest .

复制代码

部署流程

应用准备

在部署容器之前，需要准备好应用程序和其依赖。

1. 创建应用目录结构：

2. mkdir -p ~/my-app/{src,config,logs}

复制代码

1. 准备应用代码（示例：简单的Node.js应用）：

2. # 创建package.json
3. cat <<EOF > ~/my-app/package.json
4. {
5.   "name": "my-node-app",
6.   "version": "1.0.0",
7.   "description": "Example Node.js application",
8.   "main": "app.js",
9.   "scripts": {
10.     "start": "node app.js"
11.   },
12.   "dependencies": {
13.     "express": "^4.17.1"
14.   }
15. }
16. EOF
18. # 创建应用文件
19. cat <<EOF > ~/my-app/app.js
20. const express = require('express');
21. const app = express();
22. const port = 3000;
24. app.get('/', (req, res) => {
25.   res.send('Hello from Node.js container!');
26. });
28. app.listen(port, () => {
29.   console.log(\`App running at http://localhost:\${port}\`);
30. });
31. EOF

复制代码

容器化应用

1. 创建Dockerfile：

2. cat <<EOF > ~/my-app/Dockerfile
3. FROM node:14-alpine
5. WORKDIR /app
7. COPY package*.json ./
9. RUN npm install
11. COPY . .
13. EXPOSE 3000
15. CMD ["npm", "start"]
16. EOF

复制代码

1. 构建应用镜像：

2. # Docker
3. cd ~/my-app
4. sudo docker build -t my-node-app:1.0 .
6. # Podman
7. cd ~/my-app
8. podman build -t my-node-app:1.0 .

复制代码

容器编排

对于复杂应用，可能需要多个容器协同工作。这里介绍使用Docker Compose进行容器编排。

1. 安装Docker Compose：

2. sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
3. sudo chmod +x /usr/local/bin/docker-compose

复制代码

1. 创建docker-compose.yml文件：

2. version: '3'
4. services:
5.   web:
6.     build: ./my-app
7.     ports:
8.       - "3000:3000"
9.     volumes:
10.       - ./my-app/logs:/app/logs
11.     networks:
12.       - app-network
13.     restart: unless-stopped
15.   redis:
16.     image: redis:alpine
17.     networks:
18.       - app-network
19.     restart: unless-stopped
21. networks:
22.   app-network:
23.     driver: bridge
25. volumes:
26.   logs:

复制代码

1. 启动服务：

2. cd ~/my-app
3. sudo docker-compose up -d

复制代码

持续集成/持续部署(CI/CD)

为了实现自动化部署，可以结合CI/CD工具。以下是基于GitLab CI的示例：

1. 创建.gitlab-ci.yml文件：

2. stages:
3.   - build
4.   - test
5.   - deploy
7. variables:
8.   DOCKER_DRIVER: overlay2
9.   DOCKER_TLS_CERTDIR: ""
10.   IMAGE_TAG: $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
12. build_image:
13.   stage: build
14.   image: docker:latest
15.   services:
16.     - docker:dind
17.   script:
18.     - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
19.     - docker build -t $IMAGE_TAG .
20.     - docker push $IMAGE_TAG
22. test_app:
23.   stage: test
24.   image: $IMAGE_TAG
25.   script:
26.     - npm test
28. deploy_to_production:
29.   stage: deploy
30.   image: docker:latest
31.   services:
32.     - docker:dind
33.   script:
34.     - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
35.     - docker pull $IMAGE_TAG
36.     - docker tag $IMAGE_TAG $CI_REGISTRY_IMAGE:latest
37.     - docker push $CI_REGISTRY_IMAGE:latest
38.     - ssh $DEPLOY_SERVER "docker-compose -f /path/to/docker-compose.yml pull && docker-compose -f /path/to/docker-compose.yml up -d"
39.   only:
40.     - main

复制代码

服务上线与验证

1. 检查容器状态：

2. # Docker
3. sudo docker ps
4. sudo docker logs container-id
6. # Podman
7. podman ps
8. podman logs container-id

复制代码

1. 验证服务可用性：

2. curl http://localhost:3000

复制代码

1. 设置健康检查：

2. # 在docker-compose.yml中添加
3. healthcheck:
4.   test: ["CMD", "curl", "-f", "http://localhost:3000"]
5.   interval: 30s
6.   timeout: 10s
7.   retries: 3

复制代码

注意事项

安全性考虑

容器安全是部署过程中不可忽视的重要方面。

1. 使用非root用户运行容器：

2. # 在Dockerfile中添加
3. RUN groupadd -r appuser && useradd -r -g appuser appuser
4. USER appuser

复制代码

1. 限制容器能力：

2. # Docker
3. sudo docker run --cap-drop ALL --cap-add CHOWN my-image
5. # Podman
6. podman run --cap-drop ALL --cap-add CHOWN my-image

复制代码

1. 使用安全扫描工具检查镜像：

2. # 安装Trivy
3. sudo yum install -y https://github.com/aquasecurity/trivy/releases/download/v0.20.0/trivy_0.20.0_Linux-64bit.rpm
5. # 扫描镜像
6. trivy image my-node-app:1.0

复制代码

数据持久化

容器本身是无状态的，数据持久化需要特殊处理。

1. 使用卷(volume)管理数据：

2. # Docker
3. sudo docker volume create my-app-data
4. sudo docker run -v my-app-data:/app/data my-image
6. # Podman
7. podman volume create my-app-data
8. podman run -v my-app-data:/app/data my-image

复制代码

1. 使用绑定挂载：

2. # Docker
3. sudo docker run -v /host/path:/container/path my-image
5. # Podman
6. podman run -v /host/path:/container/path my-image

复制代码

日志管理

容器日志管理对于故障排查和系统监控至关重要。

1. 配置日志驱动：

2. // /etc/docker/daemon.json
3. {
4.   "log-driver": "json-file",
5.   "log-opts": {
6.     "max-size": "10m",
7.     "max-file": "3"
8.   }
9. }

复制代码

1. 使用日志收集工具（如ELK Stack）：

2. # docker-compose.yml片段
3. logging:
4.   driver: "syslog"
5.   options:
6.     syslog-address: "tcp://logstash:5000"
7.     syslog-format: "rfc3164"
8.     tag: "{{.ImageName}}/{{.Name}}/{{.ID}}"

复制代码

资源限制

合理设置资源限制可以防止单个容器耗尽系统资源。

1. 限制CPU使用：

2. # Docker
3. sudo docker run --cpus=1.5 my-image
5. # Podman
6. podman run --cpus=1.5 my-image

复制代码

1. 限制内存使用：

2. # Docker
3. sudo docker run --memory=512m my-image
5. # Podman
6. podman run --memory=512m my-image

复制代码

1. 设置磁盘IO限制：

2. # Docker
3. sudo docker run --device-read-bps /dev/sda:1mb my-image
5. # Podman
6. podman run --device-read-bps /dev/sda:1mb my-image

复制代码

性能优化

镜像优化

优化镜像大小和构建速度可以提高部署效率。

1. 使用多阶段构建：

2. # 构建阶段
3. FROM node:14 AS build
4. WORKDIR /app
5. COPY package*.json ./
6. RUN npm install
7. COPY . .
8. RUN npm run build
10. # 生产阶段
11. FROM node:14-alpine
12. WORKDIR /app
13. COPY --from=build /app/dist ./dist
14. COPY --from=build /app/node_modules ./node_modules
15. COPY package*.json ./
16. EXPOSE 3000
17. CMD ["npm", "start"]

复制代码

1. 减少镜像层数：

2. # 不好的做法 - 创建多层
3. RUN yum update -y
4. RUN yum install -y httpd
5. RUN yum clean all
7. # 好的做法 - 合并命令
8. RUN yum update -y && \
9.     yum install -y httpd && \
10.     yum clean all

复制代码

1. 使用轻量级基础镜像：

2. # 使用alpine版本
3. FROM node:14-alpine

复制代码

容器运行时优化

优化容器运行参数可以提高性能。

1. 调整内存分配：

2. # Docker
3. sudo docker run --memory=512m --memory-swap=1g my-image
5. # Podman
6. podman run --memory=512m --memory-swap=1g my-image

复制代码

1. 优化存储性能：

2. # 使用直接LVM卷作为存储后端
3. sudo docker daemon --storage-opt dm.directlvm_device=/dev/sdb --storage-opt dm.directlvm_fs_type=xfs

复制代码

1. 调整网络参数：

2. # 增加容器网络缓冲区大小
3. sudo docker run --net-alias alias --sysctl net.core.rmem_max=16777216 my-image

复制代码

系统级优化

在宿主机级别进行优化可以提高整体容器性能。

1. 调整内核参数：

2. # /etc/sysctl.conf
3. net.core.somaxconn = 65535
4. net.ipv4.tcp_max_syn_backlog = 65535
5. net.ipv4.tcp_fin_timeout = 10
6. net.ipv4.tcp_keepalive_time = 1200
7. net.ipv4.tcp_max_tw_buckets = 10000

复制代码

1. 使用CPU亲和性：

2. # 将容器绑定到特定CPU核心
3. sudo docker run --cpuset-cpus=0-1 my-image

复制代码

1. 文件系统优化：

2. # 为容器存储使用XFS文件系统
3. sudo mkfs.xfs -f /dev/sdb1
4. sudo mount /dev/sdb1 /var/lib/containers

复制代码

监控与调优

持续监控容器性能并根据需要进行调优。

1. 安装监控工具：

2. # 安装cAdvisor
3. sudo docker run \
4.   --volume=/:/rootfs:ro \
5.   --volume=/var/run:/var/run:rw \
6.   --volume=/sys:/sys:ro \
7.   --volume=/var/lib/docker/:/var/lib/docker:ro \
8.   --publish=8080:8080 \
9.   --detach=true \
10.   --name=cadvisor \
11.   google/cadvisor:latest

复制代码

1. 使用Prometheus和Grafana进行监控：

2. # docker-compose.yml片段
3. prometheus:
4.   image: prom/prometheus:latest
5.   volumes:
6.     - ./prometheus.yml:/etc/prometheus/prometheus.yml
7.   ports:
8.     - "9090:9090"
10. grafana:
11.   image: grafana/grafana:latest
12.   ports:
13.     - "3000:3000"
14.   depends_on:
15.     - prometheus

复制代码

1. 性能分析：

2. # 使用perf进行性能分析
3. sudo perf top -p $(sudo docker inspect --format '{{.State.Pid}}' container-id)

复制代码

最佳实践

镜像管理

1. 使用版本控制管理镜像：为镜像使用语义化版本号维护镜像变更日志
2. 为镜像使用语义化版本号
3. 维护镜像变更日志
4. 定期更新基础镜像：FROM centos:centos7.9.2009
5. 定期清理无用镜像：
“`bashDockersudo docker image prune -f

使用版本控制管理镜像：

• 为镜像使用语义化版本号
• 维护镜像变更日志

定期更新基础镜像：

2. FROM centos:centos7.9.2009

复制代码

定期清理无用镜像：
“`bash

sudo docker image prune -f

# Podman
   podman image prune -f

2. ### 容器编排最佳实践
4. 1. 使用声明式配置：
5.    ```yaml
6.    # docker-compose.yml示例
7.    version: '3.8'
8.    services:
9.      web:
10.        image: nginx:alpine
11.        deploy:
12.          replicas: 3
13.          update_config:
14.            parallelism: 1
15.            delay: 10s
16.          restart_policy:
17.            condition: on-failure

复制代码

1.

2. 实施健康检查：healthcheck:
3. test: ["CMD", "curl", "-f", "http://localhost"]
4. interval: 30s
5. timeout: 10s
6. retries: 3
7. start_period: 40s

复制代码

2.

2. 使用环境变量进行配置管理：
3. “`yaml
4. environment:RACK_ENV=productionSHOW=trueSESSION_SECRET
5. env_file:./config.env”`

复制代码

3. RACK_ENV=production
4. SHOW=true
5.

2. SESSION_SECRET
3. env_file:

复制代码

6. ./config.env

实施健康检查：

2. healthcheck:
3. test: ["CMD", "curl", "-f", "http://localhost"]
4. interval: 30s
5. timeout: 10s
6. retries: 3
7. start_period: 40s

复制代码

使用环境变量进行配置管理：
“`yaml
environment:

• RACK_ENV=production
• SHOW=true
•

2. SESSION_SECRET
3. env_file:

复制代码

• ./config.env

”`

安全最佳实践

1.

2. 使用内容信任（Docker Content Trust）：export DOCKER_CONTENT_TRUST=1
3. sudo docker pull my-image:tag

复制代码

2.

2. 实施网络策略：
3. “`yaml在Kubernetes中apiVersion: networking.k8s.io/v1
4. kind: NetworkPolicy
5. metadata:
6. name: app-network-policy
7. spec:
8. podSelector:
9.    matchLabels:app: my-apppolicyTypes:IngressEgress
10. ingress:from:- podSelector:matchLabels:app: databaseports:- protocol: TCPport: 5432
11. egress:to:- podSelector:matchLabels:app: databaseports:- protocol: TCPport: 5432”`

复制代码

3. Ingress
4.

2. Egress
3. ingress:

复制代码

5.

2. from:- podSelector:matchLabels:app: databaseports:- protocol: TCPport: 5432
3. egress:

复制代码

6. to:- podSelector:matchLabels:app: databaseports:- protocol: TCPport: 5432
7.

2. 定期进行安全审计：# 使用Dockle进行安全审计
3. sudo docker run --rm -v /var/run/docker.sock:/var/run/docker.sock goodwithtech/dockle my-image:tag

复制代码

使用内容信任（Docker Content Trust）：

2. export DOCKER_CONTENT_TRUST=1
3. sudo docker pull my-image:tag

复制代码

实施网络策略：
“`yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: app-network-policy
spec:
podSelector:
   matchLabels:

2. app: my-app

复制代码

policyTypes:

• Ingress
•

2. Egress
3. ingress:

复制代码

•

2. from:- podSelector:matchLabels:app: databaseports:- protocol: TCPport: 5432
3. egress:

复制代码

• to:- podSelector:matchLabels:app: databaseports:- protocol: TCPport: 5432

2. - podSelector:

复制代码

2. app: database

复制代码

2. - protocol: TCP

复制代码

2. - podSelector:

复制代码

2. app: database

复制代码

2. - protocol: TCP

复制代码

”`

定期进行安全审计：

2. # 使用Dockle进行安全审计
3. sudo docker run --rm -v /var/run/docker.sock:/var/run/docker.sock goodwithtech/dockle my-image:tag

复制代码

备份与恢复策略

1.

2. 容器备份：
3. “`bash备份容器sudo docker commit container-id my-image:backup

复制代码

容器备份：
“`bash

sudo docker commit container-id my-image:backup

# 导出镜像
   sudo docker save -o my-image-backup.tar my-image:backup

2. 2. 数据备份：
3.    ```bash
4.    # 使用卷备份
5.    sudo docker run --rm -v my-volume:/volume -v $(pwd):/backup alpine tar cvf /backup/my-volume-backup.tar /volume

复制代码

1. 恢复策略：
“`bash恢复镜像sudo docker load -i my-image-backup.tar

恢复策略：
“`bash

sudo docker load -i my-image-backup.tar

# 恢复数据
   sudo docker run –rm -v my-volume:/volume -v $(pwd):/backup alpine sh -c “rm -rf /volume/* && tar xvf /backup/my-volume-backup.tar -C /”
   “`

结论

CentOS容器运行部署是一项复杂但极其有价值的技术实践。通过本文的详细介绍，我们从环境搭建到服务上线，全面了解了CentOS容器部署的完整流程，并探讨了其中的注意事项和性能优化技巧。

容器化部署不仅可以提高资源利用率和应用可移植性，还能简化运维工作，加快应用交付速度。然而，要充分发挥容器技术的优势，还需要结合实际情况灵活应用最佳实践，持续监控和优化系统性能。

随着技术的不断发展，CentOS容器生态系统也在持续演进。作为技术从业者，我们应当保持学习，关注最新的技术趋势，不断提升容器化部署和管理的能力，为企业数字化转型提供坚实的技术支持。

通过遵循本文提供的指导和建议，您可以有效地在CentOS环境中部署和管理容器化应用，实现从开发到生产的无缝过渡，并确保系统的高效、稳定和安全运行。