Docker生态四大支柱：运行时、守护进程、镜像分发与编排协调深度解析

1. 为什么“Docker生态”不是个虚词而是你每天都在用的基础设施很多人第一次听说“Docker生态”时下意识觉得这是个高大上的概念包装——不就是跑几个容器吗写个docker run、配个docker-compose.yml顶多再搭个私有镜像仓库怎么就扯上“生态”了我刚接触Docker那会儿也这么想。直到某天凌晨三点线上服务突然503排查发现不是代码问题也不是服务器宕机而是Kubernetes集群里一个关键的registry-adapter组件因镜像拉取超时反复重启而这个组件本身又依赖另一个由社区维护的clair-scanner镜像该镜像在上游基础镜像更新后未同步修复CVE-2023-29276漏洞导致安全扫描服务拒绝启动最终连锁反应让整个CI/CD流水线卡死。那天我翻了整整七个小时的日志从dockerd守护进程日志到containerd的ctr events输出再到buildkit构建器的trace日志才定位到问题根因不是某个工具坏了而是生态中多个组件的版本契约、网络策略、存储驱动和安全上下文之间出现了隐性断裂。这才是“Docker生态”的真实切面——它从来不是单点技术而是一套精密咬合的齿轮系统最底层是runc这样的OCI运行时往上是containerd这样的容器生命周期管理器再往上才是我们熟悉的docker CLI镜像分发依赖distribution-spec协议和registry实现网络靠libnetwork插件与CNI规范桥接存储则通过graphdriver如overlay2、btrfs与宿主机文件系统协同。这些组件彼此不直接耦合却通过标准化接口OCI Runtime Spec、OCI Image Spec、CNAB、BuildKit Frontend API形成松散但强约束的协作关系。你执行docker build时调用的其实是buildkitd你看到的docker ps背后是containerd的TaskService在查询shim进程状态你以为在操作“容器”实际是在调度cgroups v2资源组、配置netns网络命名空间、挂载mount ns中的联合文件系统层。生态的意义正在于它把这种复杂性封装成docker run -p 8080:80 nginx这样一行命令但一旦出问题你就必须能一层层拨开洋葱。所以本文不讲“Docker是什么”这种入门定义也不堆砌命令清单。我们要做的是带着运维故障单、CI/CD流水线日志、K8s事件描述这些真实线索反向拆解Docker生态的四大支柱组件运行时Runtime、守护进程Daemon、镜像分发Registry、编排协调Orchestration。每一块都聚焦三个问题它解决什么具体痛点为什么非它不可你在生产环境踩过哪些坑比如containerd为何取代dockerd成为K8s默认运行时registry的blob mount机制如何让docker push在断网重连后秒级续传docker compose的profiles字段怎样避免测试环境误启监控采集器这些答案全来自我过去三年在金融、电商、SaaS三类业务场景中部署超2700个容器实例的真实记录。如果你正被“容器起不来”“镜像拉不动”“网络不通”“磁盘爆满”这类问题困扰这篇就是为你写的诊断手册。2. 运行时层runc、crun与containerd——谁在真正执行你的容器2.1 runcOCI标准的参考实现也是所有容器的“出生证明”当你执行docker run alpine:latest echo hello表面看是Docker在启动容器实则dockerd只是个指挥官真正执行创建命名空间、设置cgroups、挂载rootfs的是runc——一个符合OCI Runtime Specification的轻量级二进制程序。它的核心逻辑极其朴素读取config.json由docker build生成并存于/var/lib/docker/overlay2/xxx/diff/目录下按JSON中定义的process、root、linux等字段调用Linux内核的clone()、unshare()、mount()等系统调用完成初始化。你可以完全绕过Docker直接用runc启动容器# 1. 创建容器根目录 mkdir -p /tmp/mycontainer/rootfs docker export $(docker create alpine:latest) | tar -C /tmp/mycontainer/rootfs -xvf - # 2. 生成标准config.json可使用runc spec生成模板 runc spec --rootless # 3. 启动容器此时无dockerd参与 runc run mycontainer这段代码揭示了runc的本质它不关心镜像来源、不处理网络配置、不管理镜像层只专注一件事——把一份符合OCI规范的JSON配置翻译成内核能理解的系统调用序列。这也是它被选为Kubernetes CRIContainer Runtime Interface默认后端的原因足够简单足够稳定足够可验证。但简单也意味着局限——runc本身不提供守护进程能力无法监听容器状态变化它不支持多租户隔离rootless模式需额外配置userns-remap更关键的是它对Windows容器、Kata Containers等安全增强型运行时缺乏原生支持。提示生产环境务必检查runc版本。CVE-2021-43798曾导致runc在--no-new-privileges关闭时仍可提权。我们曾在线上集群因未升级runc 1.1.12而触发该漏洞攻击者通过恶意镜像获取宿主机root权限。解决方案不是禁用--no-new-privileges而是强制所有节点升级至runc 1.1.13以上并在CI流水线中加入runc --version | grep -q 1\.1\.校验步骤。2.2 crunrunc的Rust重写版性能与安全的双重跃迁crun是Red Hat主导开发的runc替代品用Rust语言重写目标直指两个痛点启动速度与内存安全。Rust的零成本抽象和所有权模型让crun在解析大型config.json如含50挂载点的Java应用时比runc快47%其静态链接特性消除了glibc版本兼容问题在RHEL 8/CentOS Stream等企业环境中尤为关键。更重要的是Rust的内存安全保证从源头杜绝了runc历史上92%的CVE漏洞类型缓冲区溢出、use-after-free等。我们曾在某银行核心交易系统迁移中对比二者同一Spring Boot应用JVM堆1G20个微服务实例runc平均启动耗时1.8秒crun降至0.9秒内存占用从runc的12MB峰值降至crun的4.3MB。这看似微小的差异在每日数万次CI构建中转化为近3小时的总时长节省。但crun并非银弹——它对systemdcgroup v2的支持晚于runc半年导致早期在Ubuntu 22.04上需手动启用cgroup_enablecpuset,cgroup_memory1内核参数其rootless模式对newuidmap/newgidmap的依赖更严格若宿主机未预装uidmap包普通用户将无法启动容器。注意crun与runc并非互斥而是共存关系。containerd通过runtime.v1插件机制同时支持二者你可在/etc/containerd/config.toml中指定[plugins.io.containerd.grpc.v1.cri.containerd.runtimes] [plugins.io.containerd.grpc.v1.cri.containerd.runtimes.runc] runtime_type io.containerd.runc.v2 [plugins.io.containerd.grpc.v1.cri.containerd.runtimes.crun] runtime_type io.containerd.runc.v2 # 指定crun二进制路径 [plugins.io.containerd.grpc.v1.cri.containerd.runtimes.crun.options] BinaryName /usr/bin/crun实际部署中我们采用“双运行时策略”常规业务用runc保障兼容性安全敏感模块如密钥管理服务强制使用crun并通过PodSecurityPolicy或PodSecurityAdmission限制runtimeClassName。2.3 containerdDocker生态的“中枢神经”为何它正悄然取代dockerd如果说runc是肌肉containerd就是控制肌肉的神经系统。它诞生于Docker公司2017年的战略拆分——将dockerd中与容器生命周期管理无关的功能如CLI、镜像构建、卷管理剥离留下一个专注、稳定、可嵌入的守护进程。如今containerd已是CNCF毕业项目被Kubernetes、OpenShift、Rancher等所有主流编排平台采用其架构设计彻底改变了容器管理范式维度dockerd旧范式containerd新范式职责边界全栈构建、运行、网络、存储、镜像管理专注容器运行时、镜像分发、内容寻址存储API设计RESTful API/containers/creategRPC APIContainerService.Create扩展机制插件Plugin需重新编译dockerd中间件Middleware动态加载如cri、snapshot、diff存储模型graphdriveroverlay2直接管理镜像层Content StoreCAS统一存储所有内容镜像、配置、层Snapshotter负责挂载这种解耦带来的直接好处是故障域隔离。过去dockerd崩溃会导致所有容器停止现在containerd守护进程异常仅影响新容器创建已运行容器不受影响因其由runc直接管理。我们曾在线上遭遇dockerd因libdevmapper内存泄漏OOM被kill但所有业务容器持续运行超48小时直到运维人员平滑重启dockerd——这在旧架构下绝不可能。containerd的核心组件值得深挖Content Store所有内容镜像层、配置、diffID以SHA256哈希为键存入/var/lib/containerd/io.containerd.content.v1.content/实现内容寻址与去重。当两个镜像共享同一层如alpine:3.18与nginx:alpine均基于alpine:3.18该层在Content Store中仅存一份。Snapshotter负责将Content Store中的层挂载为可读写文件系统。overlayfsSnapshotter通过upperdir/workdir/lowerdir三目录实现写时复制而stargzSnapshotter则支持按需解压eStargz格式让1GB镜像在docker pull后秒级启动无需等待完整解压。CRI插件Kubernetes通过CRI与containerd通信。cri插件将K8s PodSpec转换为containerd的CreateContainerRequest并监听containerd的TaskExit事件上报Pod状态。这意味着kubectl get pods看到的状态本质是containerd通过TaskService查询runc进程状态的结果。实操心得containerd的ctr命令行工具是故障排查利器远比docker命令更接近底层。例如排查容器网络问题# 查看容器网络命名空间路径用于nsenter调试 ctr -n k8s.io containers info container-id | jq .Info.Runtime.Options[netns] # 直接进入容器网络命名空间抓包无需docker exec nsenter -n -t $(pidof runc) -- tcpdump -i eth0 port 8080我们曾用此方法在客户环境定位到calicoCNI插件因iptables规则冲突导致DNS请求被DROP的问题整个过程耗时不到8分钟。3. 守护进程层dockerd的演进、替代方案与生产级加固3.1 dockerd从“All-in-One”到“Legacy Mode”的历史必然dockerd曾是Docker生态的绝对中心它集成了镜像构建docker build、容器运行docker run、网络配置docker network、卷管理docker volume等全部功能。这种“大一统”设计在2014-2016年极大降低了容器使用门槛但也埋下隐患单体进程复杂度高、升级风险大、与编排平台耦合深。当Kubernetes崛起后其CRI要求运行时必须解耦dockerd因无法满足“仅提供容器运行能力”的最小化原则被K8s官方在1.20版本正式弃用Dockershim移除。但这不意味dockerd已死。在开发、测试、CI/CD等非生产场景dockerd仍是效率最高的工具。其核心价值在于开发者体验DXdocker build --progressplain的实时构建日志、docker compose up --build的一键编排、docker context的多环境切换这些功能在containerd原生命令中需多步组合才能实现。我们团队内部规定本地开发强制使用dockerdCI流水线使用buildkitdcontainerd生产集群禁用dockerd。dockerd的配置文件/etc/docker/daemon.json是生产环境加固的关键入口。常见但易被忽视的配置项包括default-ulimits为所有容器设置默认ulimit避免Java应用因nofile不足崩溃insecure-registries仅在内网测试环境启用生产环境必须配合tlsverify和tlscacertlive-restore启用后dockerd重启时容器不停止但需确保containerd已启用--live-restore标志storage-driveroverlay2是当前唯一推荐驱动devicemapper已被废弃。踩坑实录某次升级Docker CE至24.0.0后dockerd启动失败日志显示failed to start daemon: error initializing graphdriver: driver not supported。排查发现新版本默认禁用vfs驱动而测试环境因磁盘空间不足曾手动配置storage-driver: vfs。解决方案不是降级而是清理/var/lib/docker并改用overlay2——这提醒我们daemon.json中的非常规配置必须纳入配置管理工具如Ansible的审计范围。3.2 Docker DesktopMac/Windows用户的“黑盒”但黑盒里藏着什么Docker DesktopDD是dockerd在macOS/Windows上的封装它解决了Linux之外系统无法原生运行容器的难题。其核心架构是在macOS上通过HyperKit虚拟机运行Linux内核在Windows上通过WSL2子系统提供Linux环境dockerd运行于该Linux环境中DD应用作为宿主机代理与之通信。这种设计带来便利也引入独特问题。最典型的“黑盒”现象是资源争用。DD默认为WSL2分配50%物理内存但未预留dockerd自身开销。当宿主机内存为16GB时WSL2可用约8GB而dockerdcontainerdrunc常驻消耗1.2GB剩余6.8GB需分配给所有容器。若某容器申请8GB内存将触发WSL2 OOM Killer杀掉进程。解决方案是修改%USERPROFILE%\AppData\Local\Docker\wsl\data\wsl.conf[wsl2] memory10GB # 限制WSL2总内存 swap2GB # 启用交换分区防OOM localhostForwardingtrue然后重启WSL2wsl --shutdown。另一个隐形陷阱是文件系统性能。DD在macOS上通过osxfs将宿主机目录挂载到容器该FUSE文件系统在大量小文件读写如npm install时性能极差。我们实测npm install在DD中耗时217秒而在原生Linux上仅需38秒。根本解法是避免挂载源码目录将node_modules放在容器内卷docker volume仅挂载package.json和src/目录或直接使用docker build构建而非docker run -v。关键技巧DD的Settings Resources WSL Integration中务必禁用不必要的Linux发行版集成。默认开启Ubuntu-20.04、Ubuntu-22.04但若你只用Ubuntu-22.04禁用20.04可减少WSL2启动时间3.2秒并释放约400MB内存。这是我们在200开发者的前端团队推行的标准配置。3.3 BuildKit下一代构建引擎为何它让Dockerfile不再“线性执行”BuildKit是Docker在2018年推出的全新构建引擎旨在解决传统docker build的三大缺陷构建缓存失效率高、并行度低、安全性弱。其革命性在于将构建过程抽象为有向无环图DAG每个RUN指令是一个节点节点间依赖关系由输入文件COPY的文件、ARG值决定而非简单的顺序执行。传统构建中RUN apt-get update apt-get install -y curl若因网络波动失败后续所有步骤需重试而BuildKit会将apt-get update结果缓存为独立节点只要apt-get install的输入即update生成的包列表未变即使update步骤重试install仍可复用缓存。更强大的是并发构建COPY package.json .与COPY yarn.lock .可并行执行RUN yarn install在两者完成后立即启动无需等待COPY src/ .完成。启用BuildKit只需设置环境变量export DOCKER_BUILDKIT1 docker build -t myapp .或在/etc/docker/daemon.json中全局启用{ features: {buildkit: true} }BuildKit的dockerfile语法扩展让构建更智能# syntaxdocker/dockerfile:1指定Dockerfile语法版本支持--mounttypecache挂载构建缓存RUN --mounttypecache,target/root/.m2为Maven构建挂载专用缓存目录避免每次下载依赖RUN --mounttypessh安全传递SSH密钥无需COPY ~/.ssh暴露私钥FROM --platformlinux/amd64跨平台构建一条命令生成ARM64/AMD64双架构镜像。真实案例我们为某IoT设备固件构建流水线启用BuildKit后构建时间从14分23秒降至5分17秒缓存命中率从31%提升至89%。关键改进是将apt-get update与apt-get install拆分为两个RUN指令并添加--mounttypecache,target/var/lib/apt/lists。这利用了BuildKit的细粒度缓存使install步骤在update结果不变时永远命中缓存。4. 镜像分发层Registry、Harbor与国内镜像加速的实战选择4.1 Docker Registry开源镜像仓库的基石但“开箱即用”等于“生产就绪”Docker官方Registryregistry:2是镜像分发的参考实现它实现了Docker Registry HTTP API V2规范核心功能简洁接收docker push上传的镜像层blobs和清单manifests响应docker pull的下载请求。其设计哲学是“最小可行产品”这也意味着生产环境需自行补全所有企业级能力。Registry的存储后端支持多种驱动但生产首选filesystem本地磁盘或s3对象存储。filesystem驱动简单高效但存在单点故障风险s3驱动天然支持高可用与异地备份但需注意S3_REGION配置错误会导致docker push超时AWS S3需显式指定区域而MinIO等兼容S3服务常忽略此参数。我们曾因S3_REGIONus-east-1配置在MinIO集群上导致所有推送失败日志仅显示error parsing HTTP 400 response body最终通过tcpdump抓包发现MinIO返回CodeInvalidRegion/Code。Registry的安全加固是重中之重。默认配置无认证任何网络可达者均可推送/拉取镜像。生产必须启用htpasswd认证# 生成密码文件 docker run --rm --entrypoint htpasswd httpd:2 -Bbn testuser testpassword auth/htpasswd # 启动带认证的Registry docker run -d -p 5000:5000 \ --restartalways \ --name registry \ -v pwd/auth:/auth \ -e REGISTRY_AUTHhtpasswd \ -e REGISTRY_AUTH_HTPASSWD_REALMRegistry Realm \ -e REGISTRY_AUTH_HTPASSWD_PATH/auth/htpasswd \ -v pwd/data:/var/lib/registry \ registry:2但htpasswd仅解决身份认证镜像内容安全需额外手段。Registry本身不提供漏洞扫描需集成Clair、Trivy等工具。我们采用“推送即扫描”策略在CI流水线中docker push后立即调用Trivy API扫描镜像若发现CRITICAL漏洞则阻断发布。这要求Registry配置webhooks在push事件触发时通知扫描服务。注意Registry的garbage-collectionGC是释放磁盘空间的关键但GC前必须确保无正在pull的客户端。我们曾因在业务高峰期执行registry garbage-collect /path/to/config.yml导致部分Pod因镜像层被删除而启动失败。正确流程是先curl -X POST http://registry:5000/v2/_catalog?n1000确认无活跃pull再执行GC并将GC脚本加入cron且避开业务高峰如凌晨2-4点。4.2 HarborCNCF毕业项目企业级镜像仓库的“瑞士军刀”Harbor是VMware开源的企业级Registry2018年成为CNCF孵化项目2020年毕业。它并非简单叠加功能而是围绕镜像全生命周期管理重构架构将镜像存储、权限控制、漏洞扫描、内容信任、复制同步等能力模块化通过统一UI/API集成。Harbor的核心优势在于策略驱动的自动化项目配额为每个项目Project设置存储配额如50GB超限时自动拒绝push机器人账号为CI/CD系统创建专用机器人账号权限精确到项目/操作如push/pull避免使用管理员账号硬编码漏洞扫描内置Trivy扫描器支持定时扫描与推送触发扫描扫描结果按CVSS评分分级Critical/High/Medium内容信任Notary对镜像签名确保拉取的镜像未被篡改docker pull时自动验证签名跨数据中心复制配置主从Registry自动同步镜像解决多云/混合云场景下的镜像分发延迟。我们为某跨国电商部署Harbor时采用“三级复制架构”总部Harbor上海为源东京、法兰克福节点为从各节点再向下级区域如新加坡、纽约复制。复制策略设置为on-demand按需与health-check健康检查结合确保网络中断时自动重试恢复后增量同步。Harbor的安装已从Helm Chart转向harbor-offline-installer但离线安装包需手动校验SHA256。我们曾因下载的harbor-offline-installer-v2.8.2.tgz被中间代理篡改导致安装后core服务启动失败日志显示failed to connect to database: dial tcp 127.0.0.1:5432: connect: connection refused。根源是篡改包中common/config/core/env文件被注入恶意数据库连接字符串。因此所有Harbor安装包必须通过sha256sum -c harbor-offline-installer-v2.8.2.tgz.sha256校验。实战配置Harbor的NOTARY_URL配置极易出错。若启用内容信任NOTARY_URL必须指向notary-server服务非notary-signer且协议必须为https。我们曾将NOTARY_URLhttp://notary-server:4443误配为http导致docker trust命令始终报错x509: certificate signed by unknown authority。解决方案是在harbor.yml中明确配置notary模块的url并确保notary-server证书由Harbor自签CA签发该CA证书需导入客户端/etc/docker/certs.d/目录。4.3 国内镜像加速清华、中科大、阿里云——不只是“换源”那么简单国内开发者常面临docker pull超时、镜像拉取失败等问题根源是Docker Hub官方Registryregistry-1.docker.io在国内访问受限。解决方案是配置镜像加速器但不同加速器的适用场景与风险需精准匹配加速器适用场景风险提示配置方式Docker中国官方镜像已停服历史遗留系统已下线勿用N/A中科大USTC镜像教育科研网络仅限教育网IP访问公网不可用{registry-mirrors: [https://docker.mirrors.ustc.edu.cn]}清华TUNA镜像通用开发环境同步延迟约15分钟可能拉取到旧版镜像{registry-mirrors: [https://mirrors.tuna.tsinghua.edu.cn/docker-images]}阿里云ACR镜像企业生产环境需注册阿里云账号免费额度500GB/月超量收费控制台开通ACR个人版获取专属加速地址生产环境强烈推荐阿里云ACR个人版。其优势在于专属加速地址如https://xxxx.mirror.aliyuncs.com绑定账号避免公共镜像站被滥用封禁支持私有镜像同步可将Docker Hub镜像自动同步至ACR再从ACR拉取规避网络波动提供镜像扫描报告与Harbor联动实现漏洞闭环。配置加速器需修改/etc/docker/daemon.json{ registry-mirrors: [https://xxxx.mirror.aliyuncs.com], insecure-registries: [], live-restore: true }关键细节registry-mirrors数组中只能有一个地址多个地址会导致Docker守护进程启动失败。我们曾因误配[https://a.mirror,https://b.mirror]dockerd日志报错invalid registry mirror configuration排查耗时2小时。经验总结镜像加速不是“一劳永逸”。我们每月执行一次docker images --format {{.Repository}}:{{.Tag}} | xargs -I {} docker pull {}全量拉取常用镜像如nginx:alpine、redis:7-alpine并记录各加速器成功率。数据表明阿里云ACR在99.2%的请求中成功清华TUNA为94.7%中科大USTC为88.3%教育网外。因此CI流水线固定使用ACR开发者本地环境则根据网络条件动态切换。5. 编排协调层Docker Compose、Swarm与Kubernetes的定位之争5.1 Docker Compose从“本地开发神器”到“生产编排备胎”的进化docker-compose诞生于2013年初衷是解决“一键启动多容器应用”的本地开发需求。其docker-compose.yml文件以YAML声明服务依赖、网络、卷docker compose up命令自动创建网络、启动容器、处理启动顺序。这种简洁性使其成为开发者事实标准但早期版本v1的局限性也明显单机运行、无高可用、无滚动更新。docker-composev22021年发布是质变。它不再是Python脚本而是用Go重写的二进制深度集成containerd支持compose子命令直接调用containerdAPI。更重要的是它引入Profiles机制让同一份docker-compose.yml适配多环境services: web: image: nginx:alpine profiles: [frontend] # 仅在frontend profile启用 api: image: python:3.9-slim profiles: [backend] prometheus: image: prom/prometheus profiles: [monitoring] # 仅监控环境启用启动时指定profiledocker compose --profile frontend --profile backend upprometheus服务将被忽略。这彻底解决了“开发环境要监控生产环境不要”的经典矛盾。docker-composev2.20还支持Docker Context可无缝切换本地与远程集群# 创建远程Kubernetes上下文 docker context create k8s-context --kubernetes config-file~/.kube/config # 在远程K8s集群运行compose应用 docker --context k8s-context compose up此时docker compose将docker-compose.yml转换为Kubernetes YAMLDeployment、Service等提交至K8s API Server。这并非替代K8s而是为熟悉Compose语法的开发者提供平滑过渡路径。生产实践我们为某SaaS产品的客户演示环境部署docker-compose而非K8s。原因有三1演示环境生命周期短通常7天K8s集群创建销毁成本高2客户IT团队无K8s运维经验docker-compose down即可彻底清理3compose的--scale参数如web3可快速模拟负载比K8s的kubectl scale更直观。这印证了docker-compose的定位不是K8s的简化版而是解决特定场景短期、轻量、开发者友好的最优解。5.2 Docker Swarm被低估的“轻量级K8s”为何它仍在边缘计算中闪耀Docker Swarm是Docker原生的集群编排工具2016年随Docker 1.12发布。虽被K8s光环掩盖但其极简架构与低资源开销在边缘计算、IoT网关等资源受限场景无可替代。Swarm的核心是swarm mode通过docker swarm init初始化管理节点docker swarm join加入工作节点。所有操作通过dockerCLI完成无需额外安装kubectl或helm。服务部署即docker service create滚动更新即docker service update --image new:tag网络即docker network create --driver overlay。其控制平面完全嵌入dockerd无独立组件内存占用仅K8s的1/5。我们为某智能工厂部署Swarm集群管理200边缘网关ARM64架构2GB内存。K8s Master节点在同等硬件上需至少4GB内存而Swarm Manager仅需1.2GB。更关键的是OTA升级可靠性Swarm的--update-failure-action rollback参数可在更新失败时自动回滚至旧版本而K8s需依赖kubectl rollout undo手动操作。工厂网络不稳定此特性避免了因升级中断导致产线停机。Swarm的stack deploy命令支持docker-compose.yml但增加了deploy字段version: 3.8 services: web: image: nginx:alpine deploy: replicas: 3 update_config: parallelism: 1 failure_action: rollback # 更新失败自动回滚 restart_policy: condition: on-failure delay: 5s注意Swarm的ingress网络使用ipvs实现负载均衡但ipvs在某些内核版本如RHEL 7.9存在connection refused问题。解决方案是升级内核至3.10.0-1160.el7以上或在/etc/docker/daemon.json中禁用ingress网络{experimental: true, default-address-pools: [{base:172.20.0.0/16,size:24}]}改用overlay网络外部LB。5.3 KubernetesDocker生态的“终极编排”但它的起点不是DockerKubernetesK8s常被误认为Docker的“高级版”实则二者定位根本不同Docker是容器运行时工具K8s是容器编排操作系统。K8s的设计哲学是“可插拔”其CRIContainer Runtime Interface抽象层允许接入containerd、