Docker 性能优化教程｜零基础可学

Docker 作为当前最常用的容器化技术之一，已经广泛应用于开发、测试、部署、运维等场景。相比传统虚拟机，Docker 启动速度更快、资源占用更少、环境一致性更好。但在实际使用过程中，很多人会发现：容器跑着跑着变慢了、镜像越来越大、磁盘空间被占满、服务响应延迟变高、CPU 或内存占用异常。

这些问题并不一定是 Docker 本身性能差，而是因为镜像构建、容器运行、资源限制、日志管理、网络配置、存储驱动等方面没有合理优化。

本文将从零基础角度出发，系统讲解 Docker 性能优化的方法。即使你刚接触 Docker，也可以按照本文一步一步理解并实践。

一、为什么需要优化 Docker 性能？

在学习优化之前，我们先要明确：Docker 性能问题通常来自哪些方面。

常见问题包括：

1. 镜像体积过大

   • 拉取镜像慢
   • 构建镜像慢
   • 占用大量磁盘空间
   • 部署效率低

2. 容器资源使用不受控制

   • 某个容器占满 CPU
   • 内存泄漏导致宿主机卡死
   • 多个容器互相争抢资源

3. 日志文件无限增长

   • Docker 默认会保存容器日志
   • 如果不限制日志大小，可能把磁盘写满

4. 容器网络性能不合理

   • 不必要的网络转发造成延迟
   • 端口映射过多影响管理
   • DNS 配置不当导致访问慢

5. 存储读写效率低

   • 频繁写入容器文件系统
   • 数据没有使用 volume 挂载
   • 使用了不合适的存储驱动

6. Dockerfile 编写不规范

   • 构建缓存失效
   • 安装了大量无用依赖
   • 每次构建都重复下载资源

Docker 性能优化的目标不是“盲目调参数”，而是通过合理设计，让容器运行更稳定、更轻量、更高效。

二、优化 Docker 镜像体积

镜像是容器运行的基础。镜像越小，下载、构建、分发、启动通常都会越快。因此，优化镜像体积是 Docker 性能优化中最重要的一步。

1. 选择更小的基础镜像

很多初学者会直接使用完整系统镜像，例如：

FROM ubuntu:latest

Ubuntu 镜像功能完整，但体积较大。如果你的应用只是运行一个简单服务，没必要使用完整系统。

可以优先选择更小的基础镜像，例如：

FROM alpine:latest

Alpine Linux 是一个非常轻量的 Linux 发行版，镜像体积通常只有几 MB。

如果是 Node.js 项目，可以使用：

FROM node:20-alpine

如果是 Python 项目，可以使用：

FROM python:3.12-alpine

不过需要注意：Alpine 使用的是 musl libc，而不是 glibc，某些依赖可能兼容性不佳。如果遇到编译问题，也可以使用 slim 镜像：

FROM python:3.12-slim

一般建议：

• 极致小体积：选择 alpine
• 兼容性更好：选择 slim
• 不建议随意使用完整版本镜像

2. 使用多阶段构建

多阶段构建是减少镜像体积的常用方法，尤其适合 Go、Java、前端、C/C++ 等需要编译的项目。

例如 Go 项目：

FROM golang:1.22 AS builder

WORKDIR /app
COPY . .
RUN go build -o main .

FROM alpine:latest

WORKDIR /app
COPY --from=builder /app/main .
CMD ["./main"]

这个 Dockerfile 分为两个阶段：

1. 第一个阶段使用 golang 镜像编译程序
2. 第二个阶段只复制编译后的二进制文件到 Alpine 镜像中

最终镜像不包含 Go 编译器、源码缓存和构建工具，因此体积会小很多。

3. 减少不必要的文件复制

很多人写 Dockerfile 时会直接：

COPY . .

这样会把当前目录下所有文件复制进镜像，包括：

• .git
• 本地日志文件
• 临时文件
• 测试数据
• IDE 配置文件
• node_modules
• 构建产物

这会导致镜像体积变大，还可能泄露敏感信息。

建议使用 .dockerignore 文件排除不需要的内容。

示例：

.git
node_modules
*.log
dist
coverage
.env
.idea
.vscode

.dockerignore 的作用类似 .gitignore，可以避免无关文件进入 Docker 构建上下文。

4. 合并 RUN 命令并清理缓存

错误写法：

RUN apt-get update
RUN apt-get install -y curl vim
RUN apt-get clean

每一条 RUN 都会生成一个镜像层，即使后面删除文件，前面的层仍然可能保留缓存。

推荐写法：

RUN apt-get update && \
    apt-get install -y --no-install-recommends curl && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*

注意点：

• 使用 --no-install-recommends 避免安装推荐包
• 安装完成后删除 apt 缓存
• 多个命令用 && 合并，减少镜像层

三、优化 Dockerfile 构建速度

Dockerfile 不仅影响镜像大小，也影响构建速度。

Docker 构建镜像时会使用缓存。如果某一层没有变化，就可以直接复用缓存。因此，合理安排 Dockerfile 指令顺序非常重要。

1. 把变化少的内容放前面

以 Node.js 项目为例，错误写法：

FROM node:20-alpine
WORKDIR /app
COPY . .
RUN npm install
CMD ["npm", "start"]

这种写法的问题是：只要你修改了任意源码文件，COPY . . 这一层就会变化，导致后面的 npm install 每次都重新执行。

推荐写法：

FROM node:20-alpine
WORKDIR /app

COPY package.json package-lock.json ./
RUN npm ci --only=production

COPY . .
CMD ["npm", "start"]

这样只有当 package.json 或 package-lock.json 变化时，才会重新安装依赖。普通代码修改不会导致依赖重新安装。

2. 使用更稳定的依赖安装方式

对于 Node.js 项目，生产环境建议使用：

npm ci --only=production

而不是：

npm install

因为 npm ci 会严格按照 package-lock.json 安装依赖，速度更快、结果更稳定。

对于 Python 项目，可以先复制依赖文件：

COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt

其中 --no-cache-dir 可以避免 pip 缓存进入镜像。

3. 开启 BuildKit

BuildKit 是 Docker 新一代构建引擎，支持更快的构建、更好的缓存、更安全的 secret 挂载等功能。

临时开启：

DOCKER_BUILDKIT=1 docker build -t myapp .

长期开启可以修改 Docker 配置文件：

{
  "features": {
    "buildkit": true
  }
}

BuildKit 可以明显提升复杂项目的构建效率。

四、合理限制容器资源

默认情况下，Docker 容器可以使用宿主机的大部分 CPU 和内存。如果某个容器出现异常，可能拖垮整台服务器。

因此，在生产环境中应该为容器设置资源限制。

1. 限制内存使用

启动容器时可以使用 --memory 参数：

docker run -d --name myapp --memory=512m nginx

表示该容器最多使用 512MB 内存。

也可以设置 swap：

docker run -d --name myapp --memory=512m --memory-swap=1g nginx

如果容器超过限制，可能会被系统 OOM Kill，因此设置内存限制时要根据应用实际情况预留空间。

查看容器资源使用情况：

docker stats

2. 限制 CPU 使用

限制容器最多使用 1 个 CPU：

docker run -d --name myapp --cpus=1 nginx

限制容器使用 0.5 个 CPU：

docker run -d --name myapp --cpus=0.5 nginx

也可以使用 CPU 权重：

docker run -d --name app1 --cpu-shares=512 nginx
docker run -d --name app2 --cpu-shares=1024 nginx

cpu-shares 是相对权重，并不是绝对限制。资源紧张时，权重高的容器可以获得更多 CPU。

3. 在 Docker Compose 中设置资源

使用 Docker Compose 时，可以这样配置：

services:
  web:
    image: nginx
    deploy:
      resources:
        limits:
          cpus: "1.0"
          memory: 512M

需要注意，deploy 在普通 docker compose up 场景下部分配置可能不完全生效，具体要看 Docker Compose 版本和运行模式。

对于本地 Compose，也可以使用：

services:
  web:
    image: nginx
    mem_limit: 512m
    cpus: 1.0

五、优化容器日志管理

日志是 Docker 性能和磁盘问题的重要来源之一。

Docker 默认日志驱动通常是 json-file，日志文件会保存在宿主机上。如果不限制大小，日志可能无限增长。

1. 查看容器日志大小

可以使用以下命令查看 Docker 容器日志文件位置：

docker inspect 容器名或容器ID

日志通常位于：

/var/lib/docker/containers//-json.log

如果服务输出大量日志，这个文件可能会变得非常大。

2. 限制日志大小

启动容器时设置日志限制：

docker run -d \
  --name myapp \
  --log-driver=json-file \
  --log-opt max-size=100m \
  --log-opt max-file=3 \
  nginx

含义：

• 单个日志文件最大 100MB
• 最多保留 3 个日志文件
• 总日志空间约 300MB

3. 配置 Docker 默认日志策略

可以修改 /etc/docker/daemon.json：

{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m",
    "max-file": "3"
  }
}

修改后重启 Docker：

sudo systemctl restart docker

这样之后新创建的容器都会默认使用该日志策略。

六、优化 Docker 存储性能

Docker 容器默认使用联合文件系统。容器写入自身文件系统时，可能会产生额外开销。因此，对于频繁读写的数据，应使用 volume 或 bind mount。

1. 使用 Volume 保存数据

推荐做法：

docker volume create mysql_data

docker run -d \
  --name mysql \
  -v mysql_data:/var/lib/mysql \
  mysql:8

Volume 由 Docker 管理，适合数据库、持久化文件、应用数据等场景。

优点：

• 性能通常比容器可写层更好
• 数据不会随容器删除而丢失
• 便于备份和迁移

2. 避免在容器可写层大量写入

不推荐：

docker run -d myapp

然后应用把大量文件写入容器内部目录，例如：

/app/uploads
/app/logs

推荐使用挂载：

docker run -d \
  -v /data/uploads:/app/uploads \
  -v /data/logs:/app/logs \
  myapp

这样数据直接写入宿主机指定目录，性能和可管理性都更好。

3. 选择合适的存储驱动

在现代 Linux 系统中，Docker 通常默认使用 overlay2，这是目前推荐的存储驱动。

查看当前存储驱动：

docker info | grep "Storage Driver"

如果不是 overlay2，可以考虑根据系统情况切换。但存储驱动涉及已有镜像和容器数据，生产环境切换前一定要备份。

七、优化 Docker 网络性能

Docker 默认使用 bridge 网络模式。对于大多数应用来说已经足够，但在高性能场景下，需要考虑网络模式和端口转发带来的影响。

1. 使用自定义 bridge 网络

默认 bridge 网络功能较弱，不如自定义 bridge 网络方便。

创建网络：

docker network create app-net

运行容器：

docker run -d --name web --network app-net nginx
docker run -d --name api --network app-net myapi

同一网络中的容器可以通过容器名互相访问：

http://api:8080

这样比使用宿主机端口绕一圈更清晰，也减少了不必要的网络复杂度。

2. 高性能场景使用 host 网络

如果对网络性能要求极高，可以使用 host 网络模式：

docker run -d --network host nginx

host 模式下，容器直接使用宿主机网络栈，减少了 NAT 和端口映射开销。

但缺点也明显：

• 隔离性变弱
• 端口容易冲突
• 不适合所有场景
• 在 Docker Desktop 上行为可能不同

因此，host 网络更适合高性能网关、监控采集、网络代理等特定场景。

3. 减少不必要的端口暴露

不要随意使用：

-p 0.0.0.0:端口:端口

只对外暴露真正需要访问的服务。

例如内部服务之间通信，可以只放在 Docker 网络内，不必暴露到宿主机。

这样可以：

• 降低安全风险
• 减少端口管理复杂度
• 避免无意义的网络转发

八、清理无用资源，释放磁盘空间

Docker 使用久了以后，磁盘空间很容易被镜像、容器、volume、构建缓存占满。

1. 查看 Docker 磁盘占用

docker system df

该命令可以查看：

• 镜像占用
• 容器占用
• Volume 占用
• 构建缓存占用

2. 清理停止的容器

docker container prune

3. 清理无用镜像

docker image prune

清理所有未使用镜像：

docker image prune -a

注意：-a 会删除所有没有被容器使用的镜像，执行前要确认不会影响后续部署。

4. 清理构建缓存

docker builder prune

如果要清理更多缓存：

docker builder prune -a

5. 一键清理无用资源

docker system prune

如果包括 volume：

docker system prune --volumes

注意：volume 可能保存数据库等重要数据，删除前必须确认。

九、监控 Docker 性能

优化不是凭感觉，而是要通过监控数据判断。

1. 使用 docker stats

最简单的监控命令：

docker stats

可以看到：

• CPU 使用率
• 内存使用量
• 网络 IO
• 磁盘 IO

如果某个容器 CPU 长期很高，说明应用可能存在性能问题，或者需要扩容。

2. 使用 docker inspect 查看配置

docker inspect 容器名

可以查看容器的详细信息，包括：

• 挂载目录
• 网络配置
• 环境变量
• 日志配置
• 资源限制

3. 配合专业监控工具

生产环境建议使用更完整的监控方案，例如：

• Prometheus
• Grafana
• cAdvisor
• Node Exporter
• ELK / EFK 日志系统

其中 cAdvisor 可以采集容器级别指标，Prometheus 负责存储指标，Grafana 用于展示图表。

十、应用层面的优化同样重要

Docker 优化并不能替代应用本身优化。如果应用代码效率低、数据库查询慢、连接池配置不合理，仅靠 Docker 参数无法解决根本问题。

常见应用优化包括：

1. 合理配置连接池

   • 数据库连接池过大可能压垮数据库
   • 连接池过小可能导致请求排队

2. 减少启动时加载内容

   • 容器应尽快启动
   • 不要在启动阶段执行大量无关任务

3. 健康检查

   • 配置 healthcheck，及时发现异常容器

示例：

HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
  CMD curl -f http://localhost:8080/health || exit 1

4. 优雅关闭
   • 应用要正确处理 SIGTERM
   • 避免容器停止时数据丢失

十一、生产环境 Docker 优化建议清单

下面给出一份适合新手参考的 Docker 性能优化清单。

镜像优化

• 使用 alpine 或 slim 基础镜像
• 使用多阶段构建
• 编写 .dockerignore
• 减少镜像层数
• 清理包管理器缓存
• 不把源码、日志、密钥打进镜像

构建优化

• 开启 BuildKit
• 利用 Docker 构建缓存
• 先复制依赖文件，再复制源码
• 使用确定性的依赖安装方式
• 避免每次构建都重新下载依赖

运行优化

• 设置 CPU 限制
• 设置内存限制
• 避免容器无限制占用资源
• 配置健康检查
• 设置合理重启策略

示例：

docker run -d \
  --name myapp \
  --restart=always \
  --cpus=1 \
  --memory=512m \
  myapp:latest

日志优化

• 设置日志最大大小
• 设置日志保留数量
• 不在容器内写大量本地日志
• 生产环境接入集中式日志系统

存储优化

• 数据使用 volume
• 避免频繁写容器可写层
• 数据库必须挂载持久化目录
• 定期备份 volume

网络优化

• 使用自定义 bridge 网络
• 内部服务不要暴露到公网
• 高性能场景评估 host 网络
• 避免不必要的端口映射

清理维护

• 定期执行 docker system df
• 清理停止容器
• 清理无用镜像
• 谨慎清理 volume
• 监控磁盘空间

十二、一个优化后的 Dockerfile 示例

下面以 Node.js 项目为例，展示一个较合理的 Dockerfile。

FROM node:20-alpine AS deps

WORKDIR /app
COPY package.json package-lock.json ./
RUN npm ci --only=production

FROM node:20-alpine

WORKDIR /app
ENV NODE_ENV=production

COPY --from=deps /app/node_modules ./node_modules
COPY . .

EXPOSE 3000

HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
  CMD wget -qO- http://localhost:3000/health || exit 1

CMD ["node", "server.js"]

配套 .dockerignore：

.git
node_modules
npm-debug.log
Dockerfile
docker-compose.yml
.env
coverage
dist
.idea
.vscode

运行容器：

docker run -d \
  --name node-app \
  --restart=always \
  --cpus=1 \
  --memory=512m \
  --log-driver=json-file \
  --log-opt max-size=100m \
  --log-opt max-file=3 \
  -p 3000:3000 \
  node-app:latest

这个示例体现了多个优化点：

• 使用轻量基础镜像
• 利用依赖缓存
• 避免复制无关文件
• 设置生产环境变量
• 配置健康检查
• 限制 CPU 和内存
• 限制日志大小

十三、常见误区

误区一：镜像越小越好

镜像小确实有优势，但不能为了小牺牲稳定性。如果 Alpine 导致依赖兼容问题，可以选择 slim 镜像。

误区二：容器不需要限制资源

开发环境可以不限制，但生产环境必须限制。否则一个异常容器可能影响整台服务器。

误区三：删除容器就删除了所有数据

如果数据保存在 volume 中，删除容器不会自动删除 volume。这是好事，但也意味着 volume 需要单独管理。

误区四：Docker 慢就是 Docker 的问题

很多性能问题其实来自应用本身，例如慢 SQL、内存泄漏、日志过多、无限循环等。Docker 优化要和应用优化结合起来。

误区五：生产环境直接使用 latest 标签

不建议使用：

docker pull myapp:latest

因为 latest 不代表最新稳定版本，也不利于回滚。推荐使用明确版本号：

myapp:1.2.3

十四、总结

Docker 性能优化并不是某一个命令或某一个参数就能完成的事情，而是一套完整的实践方法。对于零基础学习者，可以先从最容易见效的地方入手：

1. 优化镜像体积
2. 编写合理的 Dockerfile
3. 设置 CPU 和内存限制
4. 控制日志大小
5. 使用 volume 保存数据
6. 定期清理无用资源
7. 使用监控工具观察性能

只要掌握这些基础方法，大多数 Docker 性能问题都可以得到明显改善。

真正优秀的 Docker 使用方式，不是把应用简单塞进容器，而是让镜像更轻、构建更快、运行更稳、资源更可控、问题更容易排查。对于个人开发者、小团队和企业生产环境来说，这些优化方法都非常实用。