容器化与云原生部署

容器化技术基础

容器化技术的核心在于提供轻量级的虚拟化解决方案。Docker作为最流行的容器化工具，通过镜像打包应用及其依赖环境，实现"一次构建，到处运行"的目标。与传统虚拟机相比，容器共享主机操作系统内核，启动更快且资源占用更少。

// Dockerfile示例：构建Node.js应用镜像
FROM node:16-alpine
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
EXPOSE 3000
CMD ["npm", "start"]

容器编排系统如Kubernetes解决了多容器管理难题。Pod作为最小调度单元，可以包含多个紧密关联的容器。Deployment资源确保指定数量的Pod副本始终运行，Service提供稳定的网络端点。

云原生架构特征

云原生应用设计遵循十二要素原则，强调无状态服务、明确依赖声明和日志事件流处理。微服务架构将单体应用拆分为独立部署的组件，每个服务聚焦单一业务能力。

// Express微服务示例
const express = require('express');
const app = express();

app.get('/api/products', (req, res) => {
  res.json([{id: 1, name: '云服务'}]);
});

// 健康检查端点
app.get('/health', (req, res) => {
  res.status(200).send('OK');
});

module.exports = app;

服务网格(Service Mesh)如Istio处理服务间通信，提供熔断、重试等弹性模式。Sidecar代理模式将网络功能从业务代码中解耦，实现非侵入式治理。

持续部署流水线

GitOps将基础设施声明文件纳入版本控制，任何变更都通过Pull Request触发自动化流程。Argo CD等工具持续监控仓库变化，自动同步集群状态。

# GitHub Actions工作流示例
name: CI/CD Pipeline
on: [push]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2
    - run: docker build -t myapp .
    - run: echo "${{ secrets.DOCKER_PASSWORD }}" | docker login -u "${{ secrets.DOCKER_USERNAME }}" --password-stdin
    - run: docker push myapp:latest

金丝雀发布策略通过逐步将流量切到新版本，降低部署风险。Feature Flag技术允许在生产环境动态启用功能，无需重新部署。

可观测性实践

分布式追踪系统如Jaeger记录请求在微服务间的流转路径。指标监控工具Prometheus采集时间序列数据，配合Grafana实现可视化。

// Express应用添加监控中间件
const promBundle = require('express-prom-bundle');
const metricsMiddleware = promBundle({
  includeMethod: true,
  includePath: true
});
app.use(metricsMiddleware);

// 自定义业务指标
const client = require('prom-client');
const orderCounter = new client.Counter({
  name: 'orders_total',
  help: 'Total number of orders'
});

结构化日志采用JSON格式，便于ELK栈处理。错误跟踪服务Sentry捕获运行时异常，提供完整的调用堆栈和上下文信息。

安全防护策略

容器安全扫描工具在构建时检测镜像漏洞。Pod安全策略限制容器以非root用户运行，网络策略控制服务间通信权限。

# Kubernetes网络策略示例
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: api-allow-frontend
spec:
  podSelector:
    matchLabels:
      app: backend-api
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 3000

Secrets管理工具如Vault动态生成数据库凭证，避免硬编码敏感信息。服务账户令牌轮换机制降低凭证泄露风险。