docker-compose

概述

Docker Compose部署OpenCVE与Airflow需配置Git安全目录及文件权限，解决dubious ownership和权限拒绝等常见问题。

什么是 docker-compose

Docker Compose 是 Docker 官方提供的容器编排工具，通过 YAML 文件定义多容器应用的依赖关系，实现服务的统一部署、启动、停止和销毁。其核心价值在于将复杂的服务依赖关系抽象为声明式配置，避免手动编写冗长的 Docker 命令。

核心概念

1. 服务（Service）
   定义容器的镜像、端口映射、环境变量等，可声明副本数（replicas）和健康检查（healthcheck）。
2. 网络（Network）
   自动创建隔离的容器网络，支持自定义网络配置（如桥接模式）以实现服务间通信。
3. 卷（Volume）
   持久化数据存储，支持绑定挂载（bind mounts）或命名卷（named volumes），避免数据丢失。
4. 依赖管理
   通过 depends_on 指定服务启动顺序，但不保证启动成功（需配合健康检查）。
5. 安全配置
   支持 user 字段指定容器运行用户，tmpfs 挂载临时内存文件系统，规避 dubious ownership 权限问题。

典型应用场景

1. 多服务协作开发
   如 OpenCVE（漏洞扫描工具）需搭配 PostgreSQL 数据库，Airflow（工作流引擎）需连接 Redis 和 MySQL，通过 docker-compose.yml 统一管理依赖。
2. 本地开发环境搭建
   快速启动包含前端、后端、数据库的完整应用栈，避免手动配置环境。
3. CI/CD 流水线
   在 GitHub Actions 或 GitLab CI 中通过 docker-compose 部署测试环境，确保与生产环境一致性。
4. 权限问题修复
   部署时若出现 dubious ownership 或 Permission denied，需在 docker-compose.yml 中配置 user: "1001"（匹配宿主机用户 UID）或调整宿主机目录权限（chown + chmod）。

相关技术

1. Docker
   容器运行时基础，需熟悉镜像构建（Dockerfile）与容器操作（docker run）。
2. YAML
   配置文件语法，需掌握 services、volumes、networks 等关键字的嵌套结构。
3. Docker Hub
   镜像仓库，用于拉取官方或自定义镜像（如 open-cve/open-cve）。
4. Kubernetes
   虽与 Docker Compose 功能重叠，但适用于生产级编排（需理解 Deployment 与 Service 的映射关系）。
5. Linux 权限管理
   熟悉 UID/GID、SELinux/AppArmor 策略，解决容器与宿主机的权限冲突。

学习路径建议

1. 基础阶段
   • 学习 Docker 基础命令（build/run/ps），理解镜像与容器的关系。
   • 掌握 YAML 语法，编写简单 docker-compose.yml 启动单容器。
2. 进阶阶段
   • 实践多服务编排（如 web + db），配置网络与卷。
   • 研究 env_file、volumes、ports 的高级用法，解决数据持久化与端口冲突。
3. 安全与优化
   • 配置 user、tmpfs 字段，修复权限问题（如 OpenCVE 部署）。
   • 学习 docker-compose config 验证配置，docker-compose up --build 重建镜像。
4. 实战项目
   • 搭建 Airflow 环境，集成 Redis/MySQL，调试权限拒绝错误。
   • 在 CI/CD 中集成 docker-compose，实现自动化测试环境部署。

相关来源

• OpenCVE与Airflow在Docker Compose部署中的安全配置与排错指南