Harbor on Liangweidong's blog

K8s 集群运维命令大全：kubectl 速查 + 节点维护 + harbor 私有仓库

Tue, 15 Oct 2024 00:00:00 +0800

kubectl 是 K8s 运维的"瑞士军刀"

K8s 1.28 时代的运维 90% 都靠 kubectl 完成。本文是"速查手册"——按场景分类，所有命令都可以直接复制粘贴。

适用版本：kubectl ≥ 1.28 / K8s 1.28.5

1. 基础环境

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 启用命令补全
apt install -y bash-completion
echo 'source <(kubectl completion bash)' >> ~/.bashrc
source ~/.bashrc

# 所有用户生效
kubectl completion bash | sudo tee /etc/bash_completion.d/kubectl > /dev/null

# 设置别名
echo 'alias k=kubectl' >> ~/.bashrc
source ~/.bashrc

# 设置默认 namespace
kubectl config set-context --current --namespace=rook-ceph

2. 资源查看

2.1 kubectl get 简写表

名称	简写	示例	说明
`pods`	`po`	`k get po -A`	Pod
`services`	`svc`	`k get svc -A`	Service
`deployments`	`deploy`	`k get deploy -A`	Deployment
`statefulsets`	`sts`	`k get sts -A`	StatefulSet
`daemonsets`	`ds`	`k get ds -A`	DaemonSet
`nodes`	`no`	`k get no`	Node
`namespaces`	`ns`	`k get ns`	Namespace
`configmaps`	`cm`	`k get cm -A`	ConfigMap
`secrets`		`k get secret -A`	Secret
`persistentvolumes`	`pv`	`k get pv`	PV
`persistentvolumeclaims`	`pvc`	`k get pvc -A`	PVC
`ingresses`	`ing`	`k get ing -A`	Ingress
`storageclasses`	`sc`	`k get sc`	StorageClass
`events`	`ev`	`k get ev -A`	Event

2.2 常用查询

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 看所有 kind
kubectl api-resources --verbs=list --namespaced -o name

# 全集群资源
kubectl get all -o wide -A

# 命名空间下所有资源
kubectl api-resources --verbs=list --namespaced -o name | \
 xargs -n 1 kubectl get --show-kind --ignore-not-found -n <namespace>

# 看 image
kubectl get deployment <name> -n <ns> -o jsonpath='{.spec.template.spec.containers[0].image}'

# 镜像与版本
kubectl api-versions

2.3 节点负载

1
2


kubectl top node
kubectl top pod -A

3. 节点管理

3.1 节点状态

1
2
3
4
5
6
7
8


# 查询节点
kubectl get node

# 节点标签
kubectl label nodes worker2 mysql-node=tenant1
kubectl label nodes worker2 mysql-node- # 删除
kubectl get nodes --show-labels
kubectl label nodes worker9 --list

3.2 节点污点（Taints）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 添加污点
kubectl taint nodes master3 node-role.kubernetes.io/master3=:NoSchedule
# 去除
kubectl taint nodes master3 node-role.kubernetes.io/master3-

# Rook-Ceph 专用污点（不让普通 Pod 调度到 mon 节点）
kubectl taint nodes master3 dedicated=ceph:NoSchedule --overwrite

# Rook-Ceph Pod 加容忍度
# kubectl -n rook-ceph edit deploy rook-ceph-operator
# 在 spec.template.spec.tolerations 中加：
tolerations:
 - key: "dedicated"
 operator: "Equal"
 value: "ceph"
 effect: "NoSchedule"

3.3 节点隔离与驱逐

1
2
3
4
5
6
7
8


# 标记不可调度
kubectl cordon master1

# 驱逐 Pod
kubectl drain master1 --delete-emptydir-data --ignore-daemonsets --force

# 恢复调度
kubectl uncordon master1

3.4 删除节点

1
2


kubectl delete node master1
# 节点上的 kubelet 进程会自动停

4. Pod 运维

4.1 查 Pod

1
2
3
4
5


kubectl get po -owide -n <ns>
kubectl get pods -n <ns> | grep redis | awk '{print $1}'

# 详细
kubectl describe po -n kube-system metrics-server-7745c6dfc5-8sjjc

4.2 日志

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 单容器
kubectl logs -f <pod> -n <ns>

# 多容器
kubectl logs -f <pod> -c <container> -n <ns>

# 用标签
kubectl logs -f --tail=100 -l app=nginx -n test

# 时间范围
kubectl logs --since=9h -l app=app -n test
kubectl logs --since-time="2024-12-15T00:00:00Z" -l app=app -n test

4.3 执行命令

1
2
3
4
5
6
7
8
9


# 单次
kubectl exec <pod> -n <ns> -- nslookup kubernetes

# 交互
kubectl exec -it <pod> -- sh
kubectl exec -it <pod> -c <container> -- sh

# 临时容器（K8s 1.23+，调试 CrashLoopBackOff 神器）
kubectl debug -it <pod> --image=busybox:1.28 --target=<container>

4.4 删除

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 正常
kubectl delete po <pod> -n <ns>
kubectl delete -f deployment.yaml

# 强制
kubectl delete po <pod> -n <ns> --grace-period=0 --force
kubectl delete po calico-kube-controllers-546dcc6886-mf8rt -n kube-system --force --grace-period=0

# 批量删 Error
kubectl delete po $(kubectl get po | grep Error | awk '{print $1}')

# 批量删非 Running
kubectl delete pod -n <ns> $(kubectl get pods -n <ns> | grep -v "Running" | awk '{print $1}') --force --grace-period=0

4.5 副本数

1
2


kubectl scale --replicas=1 deployment/<name> -n <ns>
kubectl -n kube-system scale --replicas=10 deployment/coredns

4.6 强制重启

1
2


kubectl rollout restart deployment/<name> -n <ns>
kubectl rollout status deployment/<name> -n <ns>

5. Deployment 高级

5.1 版本回滚

1
2
3
4
5
6
7
8
9


# 记录版本（apply 时 --record 已废弃，用 annotate）
kubectl annotate deployment/<name> kubernetes.io/change-cause="image updated"

# 历史
kubectl rollout history deployment/<name>

# 回滚
kubectl rollout undo deployment/<name>
kubectl rollout undo deployment/<name> --to-revision=2

5.2 HPA（自动扩缩）

1
2
3


# 设置 HPA（注意：设了 HPA 后不能手动 scale）
kubectl autoscale deployment <name> -n <ns> --min=1 --max=1
kubectl edit hpa <name> -n <ns>

5.3 测试压测

1
2


kubectl run -i --tty load-generator --rm --image=busybox:1.28 --restart=Never -- \
 /bin/sh -c "while sleep 0.01; do wget -q -O- http://php-apache; done"

6. Secret 与 harbor

6.1 创建 harbor secret

1
2
3
4
5


kubectl create secret docker-registry harbor-secret \
 --docker-server=<harbor-host>:13001 \
 --docker-username=admin \
 --docker-password={{HARBOR_PASSWORD}} \
 -n <ns>

真实密码用占位符 {{HARBOR_PASSWORD}} 替代。

6.2 Pod 引用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


apiVersion: v1
kind: Pod
metadata:
 name: pod-harbor
spec:
 containers:
 - name: c1
 image: <harbor-host>:13001/test/nginx:v1
 imagePullSecrets:
 - name: harbor-secret

6.3 docker daemon.json（提前配）

所有节点：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


{
 "exec-opts": ["native.cgroupdriver=systemd"],
 "log-driver": "json-file",
 "log-opts": { "max-size": "50m", "max-file": "1" },
 "registry-mirrors": [
 "https://<your-mirror>.mirror.aliyuncs.com",
 "https://docker.m.daocloud.io",
 "https://hub-mirror.c.163.com"
 ],
 "insecure-registries": ["<harbor-host>:13001"]
}

6.4 Token（admin 登录）

1

kubectl -n kube-system create token admin-user

7. 内部网络测试

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 创建测试 pod
kubectl run -it --rm busybox --image=busybox:1.28 -- nslookup mine-backend.test

# 测试 DNS
kubectl run busybox --image=busybox:1.28 -- sleep 3600
kubectl exec -it busybox -- sh
nslookup kubernetes.default
nslookup extend-service.test

# 跨 namespace 解析
kubectl exec busybox -n default -- nslookup safety-auth.safety-hnpre.svc.cluster.local

修改 CoreDNS 配置后重启：

1
2
3
4
5
6
7
8
9


kubectl edit configmap coredns -n kube-system

# 改 forward 段
forward . __PILLAR__CLUSTER__DNS__ {
 prefer_udp
 max_concurrent 1000
}

kubectl rollout restart deploy/coredns -n kube-system

8. 命名空间与 finalizers

8.1 命名空间管理

1
2
3


kubectl create ns <name>
kubectl delete ns <name>
kubectl get ns

8.2 namespace 卡 Terminating

1
2
3
4
5
6


ns=cattle-fleet-system
kubectl get namespace $ns -o json | jq '.metadata.finalizers=[]' | \
 kubectl replace --raw "/api/v1/namespaces/$ns/finalize" -f -

# 通用 patch
kubectl patch ns rook-ceph --type=merge -p '{"metadata":{"finalizers":null}}'

8.3 PVC 卡 Terminating

1
2
3
4


kubectl patch pvc jenkins-agent-pvc -n kube-ops --type=merge -p '{"metadata":{"finalizers":null}}'

kubectl patch pv pvc-c87554c7-6b20-42ed-8cdd-8be1d630a744 \
 -p '{"metadata":{"finalizers":null}}' --type=merge

9. 排错速查表

现象	命令	解决
节点 NotReady	`kubectl describe node <n>`	查 Conditions
Pod Pending	`kubectl describe po <p>`	查 Events
Pod CrashLoopBackOff	`kubectl logs <p> --previous`	看上一次容器日志
Service 不通	`kubectl get ep`	ep 是不是有后端 Pod
NodePort 外网访问不了	`kubectl get svc -o yaml`	type=NodePort, nodePort 范围
DNS 不通	`kubectl exec <p> -- nslookup kubernetes`	CoreDNS Pod 状态
镜像拉不到	`kubectl describe po <p>`	检查 imagePullSecrets
PVC Pending	`kubectl describe pvc`	StorageClass 配额 / 节点亲和
HPA 不会缩	`kubectl describe hpa`	看 metrics-server 是否正常
升级失败	`kubectl rollout undo`	回滚

10. 小结

kubectl 命令覆盖 K8s 运维的 80% 场景：

get + describe + logs 是排障三件套
rollout undo 是版本回滚神器
drain + cordon 是节点维护的标配
drain + delete node 是缩容的标配
patch … finalizers=null 是 namespace 卡死的杀手锏

下一步：K8s 集群升级与卸载：版本升级 + finalizers 清理。

Harbor 镜像仓库：安装、升级、Trivy 扫描与双机复制实战

Sat, 15 Jun 2024 00:00:00 +0800

Harbor 是 CNCF 毕业的企业级 Docker 镜像仓库（VMWare 2016 年开源，2018 年捐赠给 CNCF），支持镜像签名、漏洞扫描、跨节点复制、基于角色的访问控制。自建 Harbor 是企业里"内网统一镜像源"的标配。这篇文章把 Harbor 2.9.1/2.10/2.13 的离线安装、配置、镜像 push/pull、Trivy 扫描、双机双向复制的完整流程一次性说清。

阅读对象：运维 / SRE / DevOps 团队；需要在多机房部署 Harbor 做"异地容灾"；需要 Trivy 漏洞扫描合规。 覆盖范围：Harbor 2.9.1/2.10.0/2.13.1 离线安装；harbor.yml 配置；daemon.json 配 insecure-registries；镜像 push/pull/打 tag 实战；Trivy 漏洞扫描 + 离线 DB 同步；双机双向复制（机器人账户 + 复制规则）。

一、Harbor 在企业里的角色

角色	价值
统一镜像源	内网统一分发，避免每台机器去 docker.io 拉
镜像合规	漏洞扫描、未签名镜像拦截、镜像签名
异地容灾	双机房 Harbor 双向复制
权限管理	RBAC、项目级隔离
CI/CD 集成	与 Jenkins / GitLab CI / ArgoCD 集成

架构：Harbor 本身是一个 docker-compose 项目（10+ 容器：core / jobservice / nginx / registry / trivy / portal / db / redis / exporter / log）。所以跑 Harbor = 跑一个 docker compose。

二、Harbor 2.9.1 离线安装

2.1 下载离线包

1
2
3
4
5
6
7
8


# 2.9.1
https://github.com/goharbor/harbor/releases/download/v2.9.1/harbor-offline-installer-v2.9.1.tgz

# 2.10.0
https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz

# 2.13.1
https://github.com/goharbor/harbor/releases/download/v2.13.1/harbor-offline-installer-v2.13.1.tgz

2.2 解压

1
2


mkdir /home/harbor-install
tar -zxvf harbor-offline-installer-v2.10.0.tgz -C /home/harbor-install

2.3 配置 `harbor.yml`

1
2
3


cd /home/docker/harbor
cp -ar harbor.yml.tmpl harbor.yml
vim harbor.yml

关键配置：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


hostname: internal.example.com  # 改成你的 IP/域名

http:
 port: 13001 # 改个非默认端口

# 关闭 HTTPS（演示环境，生产必开）
#https:
# port: 443
# certificate: /your/certificate/path
# private_key: /your/private/key/path

# 管理员密码（必改）
harbor_admin_password: {{REDACTED}}

# 数据目录
data_volume: /home/docker/harbor/data

2.4 启动

1

./install.sh

启动日志：

1
2
3
4
5
6
7


[Step 0]: checking if docker is installed ...
[Step 1]: checking docker-compose is installed ...
[Step 2]: loading Harbor images ...
[Step 3]: preparing environment ...
[Step 4]: preparing harbor configs ...
[Step 5]: starting Harbor ...
✔ ----Harbor has been installed and started successfully.----

访问 http://<host>:13001，默认账号 admin / 你的密码。

三、配置 Docker 客户端

3.1 daemon.json

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


cat << 'EOF' > /etc/docker/daemon.json
{
 "exec-opts": ["native.cgroupdriver=systemd"],
 "log-driver": "json-file",
 "log-opts": { "max-size": "50m", "max-file": "1" },
 "registry-mirrors": [
 "https://docker.m.daocloud.io",
 "https://hub-mirror.c.163.com",
 "https://mirror.baidubce.com",
 "https://docker.nju.edu.cn",
 "https://docker.mirrors.sjtug.sjtu.edu.cn",
 "https://dockerproxy.com"
 ],
 "insecure-registries": ["internal.example.com:13001"]
}
EOF

systemctl daemon-reload
systemctl restart docker

insecure-registries：HTTP 协议的 Harbor 必须加这一项，否则客户端报 server gave HTTP response to HTTPS client。

3.2 登录 Harbor

1
2


docker login -u admin -p {{REDACTED}} internal.example.com:13001
# Login Succeeded

四、镜像 push / pull 实战

4.1 重新打 tag 推送

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 拉官方镜像
docker pull nginx:latest

# 打 tag 到 Harbor
docker tag nginx:latest internal.example.com:13001/library/nginx:latest

# 推送
docker push internal.example.com:13001/library/nginx:latest

# 删除本地 tag
docker rmi -f internal.example.com:13001/library/nginx:latest

# 从 Harbor 拉
docker pull internal.example.com:13001/library/nginx:latest

4.2 完整业务镜像推送示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# JDK 8
docker tag lwd/jdk:8u381 internal.example.com:13001/base/lwd/jdk:8u381
docker push internal.example.com:13001/base/lwd/jdk:8u381

# Go 应用
docker tag lwd/go:2.0 internal.example.com:13001/base/lwd/go:2.0
docker push internal.example.com:13001/base/lwd/go:2.0

# Tomcat
docker tag tomcat:9.0.79-jdk8-temurin-jammy \
 internal.example.com:13001/base/tomcat:9.0.79-jdk8-temurin-jammy
docker push internal.example.com:13001/base/tomcat:9.0.79-jdk8-temurin-jammy

# MySQL 8
docker tag mysql:8.0.23 internal.example.com:13001/base/mysql:8.0.23
docker push internal.example.com:13001/base/mysql:8.0.23

# EMQX
docker tag emqx/emqx:5.0.24 internal.example.com:13001/base/emqx/emqx:5.0.24
docker push internal.example.com:13001/base/emqx/emqx:5.0.24

路径约定：<harbor>/<project>/<repo>:<tag>。library 是默认项目，公开镜像放这里；私有项目用 base 等命名空间。

4.3 Harbor API 查询镜像

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 查 Harbor 版本
curl http://internal.example.com:13001/api/version -k
# {"version":"v2.0"}

# 查项目下的 tags
curl -u admin:{{REDACTED}} -H "Content-Type: application/json" \
 -X GET "http://internal.example.com:13001/v2/library/lwd/jdk/tags/list" -k

# 查镜像是否存在（200 存在，404 不存在）
curl -sIL -w "%{http_code}\n" -o /dev/null \
 -X GET "http://internal.example.com:13001/api/v2.0/projects/base/repositories/lwd%252Fjdk/artifacts/8u381-3"

五、Trivy 漏洞扫描

Harbor 集成了 Trivy 作为默认扫描器。Trivy 漏洞库更新非常频繁（每天），离线环境需要定期同步 DB。

5.1 启用 Trivy 扫描

1
2
3
4
5
6
7
8
9


# 1. 停 Harbor
cd /home/docker/harbor
docker-compose stop

# 2. 重新 prepare（启用 trivy）
./prepare --with-trivy

# 3. 重新启动
docker-compose -f docker-compose.yml up -d

5.2 离线 DB 同步

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 安装 Oras CLI（用于从 OCI 仓库下载 trivy-db）
curl -LO https://github.com/oras-project/oras/releases/download/v1.1.0/oras_1.1.0_linux_amd64.tar.gz
mkdir -p oras-install/
tar -zxf oras_1.1.0_linux_amd64.tar.gz -C oras-install/
mv oras-install/oras /usr/local/bin/

# 拉 trivy-db（用 ghcr dockerproxy 镜像加速）
oras pull ghcr.dockerproxy.com/aquasecurity/trivy-db:2 -v --insecure

# 解压到 Harbor 的 trivy 目录
tar xf db.tar.gz -C /home/docker/harbor/data/trivy-adapter/trivy/db
chown 10000.10000 -R /home/docker/harbor/data/trivy-adapter/trivy/db

5.3 定时同步脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


cat << 'EOF' > /usr/bin/sh/download_trivy_db.sh
#!/bin/bash
# 每天凌晨 0:30 同步
# cron：30 0 * * * /usr/bin/sh /usr/bin/sh/download_trivy_db.sh > /var/log/download_trivy_db.log 2>&1 &

cd /home/data/trivy-db

oras pull ghcr.io/aquasecurity/trivy-db:2 -v --insecure

if [ $? -eq 0 ]; then
 tar xf db.tar.gz -C /home/docker/harbor/data/trivy-adapter/trivy/db
 chown 10000.10000 -R /home/docker/harbor/data/trivy-adapter/trivy/db
 echo 'succ'
else
 echo 'download failed!'
fi
EOF
chmod +x /usr/bin/sh/download_trivy_db.sh

坑：Trivy 漏洞库体积 ~100MB，不能放在 Harbor 容器内，必须挂在外部卷。

六、双机双向复制（异地容灾）

Harbor 支持"两个实例之间同步镜像"，**机器人账户（Robot Account）**是机器间互信的标准做法。

6.1 架构

1
2
3


[机房 1 Harbor] [机房 2 Harbor]
 10.8.33.254:13001 1.2.3.4:13001
 robot$copy (双向) ◄────────────► robot$copy

6.2 机房 2 创建机器人

访问 http://机房2:13001/harbor/robot-accounts
创建机器人：
- 名称：robot$copy
- 权限：项目级（具体到要复制的项目）
- 复制：+ 保存
记录 Token（如 FKkxBNnmKD8Z13l6TCGf3sTl9ObfB3Lf），关闭后再无法查看

6.3 机房 1 配置复制规则

登录机房 1 Harbor
系统管理 → 复制管理 → 新建规则
填写：
- 名称：to-机房2
- 模式：Pull-based（推荐，先从机房 1 推到机房 2）
- 源注册表：机房 2 的 URL
- 源机器人：机房 2 创建的 robot$copy + Token
- 目标项目：library / base（按需）
- 触发模式：手动 / 定时 / 事件

6.4 验证复制

1
2
3
4
5


# 机房 1 推送
docker push internal.example.com:13001/library/nginx:latest

# 几分钟后在机房 2 看是否自动同步
# 访问 http://机房2:13001 → library 项目 → 应能看到 nginx

七、Harbor 升级（2.9.1 → 2.13.1）

7.1 备份

1
2
3
4
5
6
7


# 停 Harbor
cd /home/docker/harbor
docker-compose down

# 备份配置和数据
mkdir -p /home/bak/harbor2.9.1
rsync -a --exclude="data" /home/docker/harbor/ /home/bak/harbor2.9.1/

不要备份 data 目录（太大，迁移时会复用）。

7.2 装载新版

1
2
3
4
5
6


# 解压新版到同一目录
tar -zxvf harbor-offline-installer-v2.13.1.tgz \
 -C /home/docker/harbor --strip-components=1

# 加载新镜像
docker image load -i harbor.v2.13.1.tar.gz

7.3 迁移旧配置 + 安装

1
2
3
4
5
6
7
8
9


# 把旧 harbor.yml 复制回来
cp /home/bak/harbor2.9.1/harbor.yml /home/docker/harbor/

# 用 prepare 迁移（v2.13.1 自动检测旧配置）
docker run -it --rm -v /:/hostfs \
 goharbor/prepare:v2.13.1 migrate -i /home/docker/harbor/harbor.yml

# 安装
./install.sh

关键：goharbor/prepare:v2.13.1 migrate 会自动转换旧配置到新版本（如 v2.9 的字段升级到 v2.13 的字段）。

八、2024+ 视角补充

本文写于 2024-06，2024-2026 期间 Harbor 持续演进：Harbor 2.11（2024-09）/ 2.12（2025-02）/ 2.13（2025-08）/ 2.14（2026-Q1） 几个大版本。关键变化：

P2P 镜像分发（2.11+）：基于 Kraken / Dragonfly，大镜像（GB 级）拉取速度提升 10x+——AI 训练镜像 / 视频处理镜像场景强相关
SBOM + SLSA Level 3 合规：2.12+ 自动生成 CycloneDX / SPDX 格式 SBOM；满足供应链安全要求（金融 / 政企刚需）
Proxy Cache 项目（2.10+ 引入、2.12 GA）：Harbor 可作为远程 Registry 的"代理缓存层"，减少 90% 出口带宽——多机房 K8s 拉取 docker.io 镜像必备
Trivy 0.50+：漏洞库大小 200MB+，离线 DB 同步脚本对网络要求更高
机器人账户（Robot Account）权限粒度细化：从项目级到仓库级（repository-level）
OCI 1.1+ 兼容：Helm Chart、OPA Bundle 等 OCI artifact 完美支持

实战建议（2026 视角）：Harbor 2.13.1+ 是当前生产推荐版本；Proxy Cache + P2P 是新装机必选能力；金融政企场景强推 SBOM + SLSA 模式。

九、扩展阅读

Harbor 官方仓库：github.com/goharbor/harbor
Harbor 官方文档：goharbor.io/docs
Trivy 漏洞库：github.com/aquasecurity/trivy-db
Trivy 官方仓库：github.com/aquasecurity/trivy
镜像复制最佳实践：goharbor.io/blog/harbor-1.10-release

Watchtower 容器自动更新：定时检测、选择性更新与远程主机

Mon, 15 Mar 2021 00:00:00 +0800

容器跑起来之后，“镜像更新"是个让人纠结的事——不更新吧，安全漏洞累积；更新吧，业务容器一重启服务就断。Watchtower 解决了"无痛更新”：定时拉取镜像、检测到更新就停掉旧容器、用新镜像起一个新容器、把端口/网络/卷全部恢复。这篇文章讲清楚 Watchtower 容器化部署、清理旧镜像、选择性更新、监控频率、远程主机对接。

阅读对象：在多容器环境里希望"装完不用管"、或者要给客户做无人值守部署的运维同学
覆盖范围：Watchtower 容器化部署、cleanup 选项、容器名过滤、标签选择、interval/schedule 频率、远程 Docker Host、Harbor 私有仓库凭据

一、为什么是 Watchtower

容器自动更新工具里，Watchtower 是事实标准：

零侵入：跑一个 sidecar 容器，监控 Docker daemon，不动现有 docker-compose
可选择性：可以只更新部分容器（按名字/标签过滤）
可灰度：--run-once 手动触发、--label-enable 白名单模式
可远程：能监控远程 Docker Host 上的容器
开源活跃：containrrr 组织维护，GitHub 1w+ stars

When to use：业务容器是"无状态"、“镜像无破坏性变更”、“出问题可快速回滚"的场景，Watchtower 几乎是首选。如果是数据库这种"有状态升级"或"必须停机升级"的场景，Watchtower 不合适。

二、容器化部署

2.1 最简启动

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c

挂载 /var/run/docker.sock：Watchtower 通过 Docker API 拉镜像、停旧容器、起新容器，没有这个挂载就什么也做不了。 -c (--cleanup)：每次更新后清理旧镜像，否则磁盘会被旧镜像塞满。

2.2 选择性自动更新（按容器名）

1
2
3
4
5
6
7


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 nginx redis

nginx redis 是被监控的容器名（不是镜像名）。docker ps 看到的 NAMES 列填进去即可。Watchtower 会只监控这俩容器，其它不管。

2.3 配置文件方式（容器多了之后）

容器列表写在文件里：

1
2
3
4


cat ~/.watchtower.list
aria2-pro
unlockmusic
mtg

1
2
3
4
5
6
7


docker run -d \
 --name watchtower \
 --restart always \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 $(cat ~/.watchtower.list)

注意空格：$(cat ...) 会把换行替换成空格，正好是 Watchtower 的命令行格式。

三、排除与白名单

3.1 排除特定容器（label 模式）

给容器加 label com.centurylinklabs.watchtower.enable=false：

1
2
3
4
5
6
7
8


docker run -d \
 --name openwrt-mini \
 --restart always \
 --network openwrt \
 --privileged \
 --label com.centurylinklabs.watchtower.enable=false \
 p3terx/openwrt-mini \
 /sbin/init

Watchtower 看到这个 label 就跳过。

3.2 白名单模式（只更新带 label 的）

启动时加 --label-enable（简写 -e）：

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --label-enable

关键：要把 --label-enable 加在 Watchtower 自己的启动参数上，被监控容器加 label com.centurylinklabs.watchtower.enable=true，Watchtower 只更新这种容器。

四、更新频率控制

4.1 默认行为

Watchtower 默认每 5 分钟轮询一次。

4.2 interval（秒）

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --interval 3600

--interval 3600：每 3600 秒（1 小时）检查一次。

4.3 schedule（6 字段 Cron）

1
2
3
4
5
6


docker run -d \
 --name watchtower \
 --restart unless-stopped \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -c \
 --schedule "0 0 2 * * *"

6 字段 Cron：第一位是秒（0 0 2 * * * 表示"每天 02:00:00”），与 Linux crontab 的 5 字段格式不一样。推荐：0 0 3 * * *（凌晨 3 点）——业务低峰期，重启容器对用户影响最小。

4.4 手动更新（–run-once）

Watchtower 默认常驻后台；--run-once 让它跑一次就退出，适合“白天手动触发更新”：

1
2
3


docker run --rm \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -cR aria2-pro

-R = --run-once：跑一次就退出。容器被 docker run --rm 自动清理。

五、远程 Docker Host

Watchtower 能监控远程主机上的容器（前提：远程 Docker daemon 监听 TCP 端口，且能认证）：

1
2
3
4
5
6
7
8
9


docker run -d \
 --name watchtower \
 --restart always \
 -e REPO_USER=admin \
 -e REPO_PASS={{REDACTED}} \
 -e DOCKER_HOST="tcp://{{REMOTE_DOCKER_HOST}}:2375" \
 containrrr/watchtower \
 -c \
 base

远程 Docker 监听 TCP 2375（明文） 有安全风险，生产环境必须用 TLS（2376）。配置方式：DOCKER_HOST=tcp://host:2376 + -e DOCKER_TLS_VERIFY=1 + -v /path/to/certs:/certs。

DOCKER_HOST 与 -v 冲突：Watchtower 用 -e DOCKER_HOST 时不需要挂载 /var/run/docker.sock，否则两个 Docker daemon 都会跑（本地和远程同时管），按需取舍。

六、私有仓库（Harbor / 自建 registry）

如果镜像在私有仓库，Watchtower 拉镜像需要凭据：

1
2
3
4
5
6
7
8
9


docker run -d \
 --name watchtower \
 --restart always \
 -e REPO_USER=admin \
 -e REPO_PASS={{REDACTED}} \
 -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower \
 -c \
 base

base 是镜像名（不是容器名）：Harbor 仓库里项目叫 base，Watchtower 就会拉 {{REGISTRY}}/base/* 下的所有镜像。

七、踩坑清单

磁盘吃光——忘了 -c/--cleanup，旧镜像累积几个 G
数据库被自动升级——Postgres / MySQL 这种"有状态"服务，Watchtower 升级可能直接破坏数据，强烈建议加 label 排除
配置/数据卷没挂出来——Watchtower 升级只会保留"挂载进容器的卷"，容器内 /etc/nginx/conf.d 这种直接放容器内的文件会丢
Watchtower 把自己升级挂了——--restart=always 不一定能救回，因为新版可能改了 entrypoint；建议固定 tag 不追 latest
频繁重启影响业务——--interval 设太短（如 60s），凌晨业务被意外重启。生产用 --schedule 凌晨低峰
远程 Docker Host 防火墙——DOCKER_HOST=tcp://... 远程 daemon 端口（2375/2376）没在远程主机防火墙开放

八、参考资料

Watchtower 官方仓库：https://github.com/containrrr/watchtower
文档：https://containrrr.dev/watchtower/
Docker daemon TLS 配置：https://docs.docker.com/engine/remote-access/

下一步

想做安全镜像仓库？→ 看 Harbor 相关文章（0.4 批次已收录）
想用 K8s 部署？→ 看 K8s 集群流量入口 Ingress-nginx 一文
一站式监控告警？→ HertzBeat 轻量监控告警一文

CentOS 7 全面实战：阿里源、Docker、Harbor 与 Nginx+Let's Encrypt

Tue, 15 Sep 2015 00:00:00 +0800

一、为什么 2015 年要写这份"一站式"

2015 年的 CentOS 7 服务器基本就是"yum 源 + Docker + Web 服务"三件套。本篇把三个场景串成一篇深度文——从国内 yum 源选择、装 Docker CE、起 Harbor 私有仓库，到 Docker 化部署 Nginx + 申请 Let’s Encrypt 免费证书并自动续期。每个环节的坑都标出来了。

本文写于 2015-09-15。Let’s Encrypt 2015-09-14 进入公开 beta，2016-04 正式 GA，本文示例贴近 Let’s Encrypt 早期生态。CentOS 7 已 2024-06-30 进入 ELS 阶段，新机器建议直接 Rocky / Alma 9。

二、国内 yum 源选择

CentOS 7 装好后第一件事就是换源——官方源国内外都慢，国内服务器一定要换。常见选择：

源	特点
阿里云 `mirrors.aliyun.com/repo/Centos-7.repo`	同步快、稳定、企业用得多
网易 163 `mirrors.163.com/.help/CentOS7-Base-163.repo`	老牌、文档多
中科大 USTC	高校机房友好
清华 TUNA	高校机房友好

阿里云（企业最常见）：

1
2
3
4


mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache
yum update

装 EPEL 源（很多 Python 包靠它）：

1

yum install -y epel-release

三、Docker CE 安装

3.1 卸载旧版

1
2
3
4
5
6
7
8


sudo yum remove docker \
 docker-client \
 docker-client-latest \
 docker-common \
 docker-latest \
 docker-latest-logrotate \
 docker-logrotate \
 docker-engine

注意：/var/lib/docker 目录（镜像、容器、卷、网络）默认不会删，重装后数据还在。

3.2 走官方 yum 源

1
2
3


sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce

想装指定老版本：

1
2


yum list docker-ce --showduplicates | sort -r
sudo yum install docker-ce-18.09.1

3.3 走 get.docker.com 一键脚本

2015-2017 社区更常用：

1
2
3


curl -sSL https://get.docker.com/ | sh
systemctl start docker
systemctl enable docker

3.4 加 docker 用户组

1
2


sudo usermod -aG docker <your-user>
# 重新登录生效

3.5 验证

1

sudo docker run hello-world

四、配置阿里云 Docker 镜像加速

DockerHub 拉镜像国内极慢，必须配镜像加速器。2015-2016 年用得最多的是 daocloud.io：

1
2
3
4
5
6
7
8
9


mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
 "registry-mirrors": ["http://f1361db2.m.daocloud.io"],
 "insecure-registries": []
}
EOF
systemctl daemon-reload
systemctl restart docker

多镜像源写法（2020+ 推荐）：

1
2
3
4
5
6
7


{
 "registry-mirrors": [
 "https://mirror.ccs.tencentyun.com",
 "https://docker.mirrors.ustc.edu.cn"
 ],
 "insecure-registries": ["<your-private-registry>:5000"]
}

验证是否生效：

1
2


ps -ef | grep docker
# 命令行里看到 --registry-mirror=... 就对了

五、装 docker-compose

5.1 早期：pip 装（2015-2017）

1
2


yum install -y python-pip
pip install docker-compose

5.2 中期：二进制直装

1
2
3
4


curl -L "https://github.com/docker/compose/releases/download/1.25.0/docker-compose-$(uname -s)-$(uname -m)" \
 -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose version

5.3 2020+：Docker CLI plugin

1
2
3
4
5
6


# Compose v2
mkdir -p ~/.docker/cli-plugins
curl -SL https://github.com/docker/compose/releases/download/v2.23.3/docker-compose-linux-x86_64 \
 -o ~/.docker/cli-plugins/docker-compose
chmod +x ~/.docker/cli-plugins/docker-compose
docker compose version

六、Harbor 私有仓库

Harbor 是 VMware 开源的镜像仓库（2016-03 第一个 release），到 2017-2018 年成为国内事实标准。2017-2019 期间安装用 离线包最稳：

6.1 下载离线安装包

1
2
3


wget https://github.com/vmware/harbor/releases/download/v1.9.1/harbor-offline-installer-v1.9.1.tgz
tar -xvf harbor-offline-installer-v1.9.1.tgz
cd harbor

6.2 改配置

1
2
3
4
5
6


vim harbor.yml

hostname: <your-registry-ip-or-domain> # 例: 192.168.6.128
http:
 port: 28083
harbor_admin_password: <your-admin-pass>

6.3 装 + 启

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


./install.sh

# 启停
docker-compose stop
docker-compose start

# 改完配置要重生效
docker-compose down -v
vim harbor.yml
./prepare
docker-compose up -d

# 推镜像
docker login <your-registry-ip>:28083
docker tag alpine <your-registry-ip>:28083/dev/alpine:3.10.3
docker push <your-registry-ip>:28083/dev/alpine:3.10.3

6.4 默认凭据

admin 账号：admin / Harbor12345（生产环境一定要改）
db_auth PostgreSQL root：root123（同上）

七、Docker 容器日志切割

不切日志，/var/lib/docker/containers/ 下的 *-json.log 可以把磁盘塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# /etc/docker/daemon.json
{
 "log-driver": "json-file",
 "log-opts": {
 "max-size": "500m",
 "max-file": "3"
 }
}
systemctl daemon-reload
systemctl restart docker

坑提醒：只对新建容器生效，老容器需要 docker rm 后重建。

清空单个容器日志：

1

truncate -s 0 /var/lib/docker/containers/<container-id>/*-json.log

八、Nginx + Let’s Encrypt 免费证书

Let’s Encrypt 2015-09-14 公开 beta、2016-04 正式 GA，把免费 HTTPS 证书从"程序员折腾"变成了"运维 5 分钟"。证书有效期 90 天，必须用 certbot renew 自动续期。

8.1 安装 certbot

1
2


yum install -y epel-release
yum install -y certbot

8.2 申请证书（webroot 方式）

要求域名已经解析到本机：

1
2
3
4
5


certbot certonly --webroot \
 -w /var/www/html \
 -d mydemo.com \
 -m <your-email> \
 --agree-tos

成功后证书在：

1
2
3
4
5


/etc/letsencrypt/live/mydemo.com/
├── cert.pem # 用户证书
├── chain.pem # 中间证书
├── fullchain.pem # cert + chain
└── privkey.pem # 私钥

8.3 查有效期

1
2
3


openssl x509 -noout -dates -in /etc/letsencrypt/live/mydemo.com/cert.pem
# notBefore=...
# notAfter=...

8.4 配合 Docker Nginx

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# docker-compose.yml
services:
 nginx:
 image: nginx
 container_name: nginx
 ports:
 - "80:80"
 - "443:443"
 volumes:
 - /var/www/html:/usr/share/nginx/html:ro
 - /webser/etc/nginx:/etc/nginx/conf.d
 - /webser/logs/nginx:/var/log/nginx
 - /etc/ssl:/etc/ssl
 - /etc/letsencrypt:/etc/letsencrypt

8.5 Nginx 配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


server {
 listen 443 ssl http2;
 server_name mydemo.com;

 ssl_certificate /etc/letsencrypt/live/mydemo.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/mydemo.com/privkey.pem;

 ssl_session_timeout 1d;
 ssl_session_cache shared:SSL:50m;
 ssl_session_tickets on;

 # 前向保密（PFS）参数
 ssl_dhparam /etc/ssl/private/dhparam.pem;

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:...:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
 ssl_prefer_server_ciphers on;

 root /usr/share/nginx/html;
 index index.html;
}

dhparam.pem 生成（一次性，2-3 分钟）：

1
2


mkdir -p /etc/ssl/private
openssl dhparam 2048 -out /etc/ssl/private/dhparam.pem

8.6 自动续期 crontab

1
2
3
4


crontab -e

# 每月 1 号 05:00 续期 + 重启 nginx
00 05 01 * * /usr/bin/certbot renew --quiet && docker restart nginx

坑提醒：续期时网站必须能访问到 /.well-known/acme-challenge/——也就是说 HTTP 80 端口必须能从公网访问到 webroot。

九、Docker 存储路径搬家

/var/lib/docker 默认在根盘，根盘很容易塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


systemctl stop docker
mkdir -p /home/docker

vim /usr/lib/systemd/system/docker.service
# ExecStart=/usr/bin/dockerd \
# --graph=/home/docker \ # Docker 17.05+ 推荐 data-root
# -H fd:// \
# --containerd=/run/containerd/containerd.sock

systemctl disable docker
systemctl enable docker
systemctl daemon-reload
systemctl start docker
docker info | grep "Docker Root Dir"
# Docker Root Dir: /home/docker

17.05+ 推荐用 data-root 而不是 --graph，后者已 deprecated。

十、磁盘空间排查速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 全局
df -h

# 各目录占用
du -sh /*

# 当前目录前 10 大
du -hd 1 | sort -hr | head

# 删除 7 天前的文件
find ./ -mtime +7 | xargs rm -rf

生产环境慎用 rm -rf / 这类命令——本文示例中所有路径都加了具体子目录，是基本的安全习惯。

十一、典型坑速查

现象	原因	处理
`docker run` 报 “Cannot connect to the Docker daemon”	daemon 没启 / 装完没 reload	`systemctl daemon-reload && systemctl restart docker`
拉镜像超慢	没配镜像加速	改 `/etc/docker/daemon.json` 的 `registry-mirrors`
`docker-compose` 命令找不到	只装了 docker，没装 compose	走 §5 装 compose
容器日志把磁盘塞满	没切日志大小	改 `daemon.json` 的 `log-opts`
Let’s Encrypt 续期失败	80 端口被占 / 域名解析不到	`certbot renew --dry-run` 模拟一次排查
Harbor 装完访问 502	端口冲突 / yml 改完没 `prepare`	改完 yml 必跑 `./prepare`

十二、下一步

想把 Harbor 升级到 v2.x → 见 Harbor 升级文档，先备份 /data/database 再升级
想换 SSL 自动化方案（acme.sh / Caddy） → 见 2017-09-15 CentOS 7 开发环境
想上 Kubernetes → 走 kubeadm，先关 swap（见 2012-12-15 CentOS 7 早期实践）
不想自己维护 Harbor → 换 Docker Hub Pro / 阿里云 ACR / 腾讯云 TCR

参考资料

2024 视角：Docker 24+ / 25+ / 26+ 已经"云原生一体化"

2015 那篇是 Docker 1.7~1.12 时代。2024 视角下 Docker 已经 26+（2024-04），加上 containerd / BuildKit / compose v2 已经"完全成熟"。

一、Docker 24 → 26+（2024 主流）

Docker 24.0（2023-05）：引入 Docker Scout（镜像漏洞扫描）、Docker Debug。
Docker 25.0（2024-01）：Compose v2 全面替代 Compose v1（v1 已废弃）。
Docker 26.0（2024-04）：BuildKit 默认启用、WebAssembly 支持。
Docker 27.0（2024-06）：Testcontainers 集成、容器测试能力。

1
2
3
4


docker --version
# Docker version 26.1.4, build 5650f9b
docker compose version
# Docker Compose version v2.27.0

二、containerd 替代 dockerd 的趋势

2024 大量 K8s 集群已经直接用 containerd（不再用 Docker）：
- containerd 1.7+（2023-04）：K8s CRI 兼容
- nerdctl：containerd 的 Docker-like CLI
- ctr（containerd 原生 CLI）

1
2


# 用 nerdctl 跑容器（语法跟 docker 一样）
nerdctl run -d --name nginx -p 80:80 nginx:1.25

2024 趋势：K8s 节点不要装 Docker，直接装 containerd——少 30% 资源占用。

三、BuildKit 时代

BuildKit（Docker 18.09+ 实验 → 26+ 默认）大幅提升 docker build 速度：
- 并行构建（多 stage 一起）
- 缓存复用（跨 build 共享层缓存）
- mount 语法（--mount=type=cache）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# BuildKit 语法（2024 推荐）
# syntax=docker/dockerfile:1
FROM golang:1.22 AS builder
WORKDIR /app
COPY . .
RUN --mount=type=cache,target=/root/.cache/go \
 go build -o /out/app

FROM alpine
COPY --from=builder /out/app /app

四、Harbor v2.x 已成事实标准

2015 那篇是 Harbor v1.9 时代。2024 主流：

Harbor 2.10+（2024）：支持 OCI 标准、镜像签名（cosign）、P2P 镜像分发（kraken）。
Harbor 2.11+（2024-05）：AI 模型管理（ML Model Registry）—— LLM 镜像 / 权重文件直接托管。

1
2
3
4
5
6


# 2024 装 Harbor 2.10
wget https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz
tar xvf harbor-offline-installer-v2.10.0.tgz
cd harbor
cp harbor.yml.tmpl harbor.yml
./install.sh

五、Let’s Encrypt 的"现代"姿势

2015 那篇是 certbot + crontab。2024 主流：

acme.sh：单脚本，80+ DNS 厂商支持，更轻量：

1
2
3
4
5
6
7
8


curl https://get.acme.sh | sh
export Ali_Key="xxx"
export Ali_Secret="yyy"
acme.sh --issue -d example.com --dns dns_ali
acme.sh --install-cert -d example.com \
 --key-file /etc/nginx/ssl/example.com.key \
 --fullchain-file /etc/nginx/ssl/example.com.crt \
 --reloadcmd "systemctl reload nginx"

lego（Go 写）：另一个 ACME 客户端，比 certbot 快。
Caddy：内置 ACME——配置即用：

1
2
3
4


example.com {
 reverse_proxy localhost:3000
}
# 自动 HTTPS + 自动续期

六、阿里云 Docker 镜像加速 2024 现状

2015 那篇的 daocloud.io 已经 2020 起停止免费服务。

2024 推荐：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


{
 "registry-mirrors": [
 "https://docker.m.daocloud.io", # DaoCloud 现仍可
 "https://mirror.baidubce.com", # 百度云
 "https://hub-mirror.c.163.com", # 网易
 "https://docker.mirrors.ustc.edu.cn", # 中科大
 "https://docker.nju.edu.cn", # 南京大学
 "https://docker.mirrors.sjtug.sjtu.edu.cn" # 上交大
 ]
}

2024 国内云厂商镜像（更稳定）：
- 阿里云：<regionId>.mirror.aliyuncs.com（每个 region 独立）
- 腾讯云：mirror.ccs.tencentyun.com
- 华为云：swr.cn-north-4.myhuaweicloud.com

七、`docker-compose` → `docker compose` 时代

2024 已无 docker-compose（v1 命令），统一用 docker compose（v2 plugin）。
2023-08 Docker 移除 Compose v1，所有项目必须迁移：

1
2
3
4
5


# 旧
docker-compose up -d

# 新
docker compose up -d

八、Docker 在 K8s 时代的"角色"

2024 大量生产项目已经不用 Docker 跑生产——直接用 K8s + containerd。
Docker 仍用的场景：
- 本地开发
- CI/CD 构建
- 小规模部署（< 10 容器）
- 个人项目
K8s 时代：
- K3s（轻量 K8s，单二进制）
- K0s（CNCF 零摩擦 K8s）
- MicroK8s（Ubuntu 出的）
- minikube（本地开发）

九、Docker 替代品

Podman（Red Hat 出，CentOS Stream / RHEL 9 默认）：无 daemon 架构，rootless 容器。
nerdctl（containerd CLI）：K8s 节点首选。
Buildah：专为 build 场景，无 daemon。
LXC / LXD：系统容器（类似 VM 的容器）。