容器化运维培训课程大纲（选修）-曙海培训中心

容器化运维培训课程大纲（选修）

专题划分

专题一：容器化运维基础
专题二：Docker容器管理与运维
专题三：容器网络与存储运维
专题四：Kubernetes集群部署与升级
专题五：Kubernetes工作负载运维
专题六：Kubernetes网络与Ingress运维
专题七：Kubernetes存储与数据管理
专题八：容器安全与合规运维
专题九：容器监控与日志管理
专题十：容器化CI/CD与GitOps
专题十一：服务网格（Istio）运维实践
专题十二：容器化故障排查与性能优化

专题一：容器化运维基础

1. 容器化运维与传统运维的区别与优势

2. 容器核心技术：Namespace、Cgroups、UnionFS

3. 容器运行时对比：Docker、containerd、CRI-O、Podman

4. 容器镜像结构：分层、manifest、配置

5. 容器生命周期管理：创建、启动、停止、删除

6. 容器资源限制：CPU、内存、磁盘IO限制配置

7. 容器日志管理：标准输出、日志驱动、日志轮转

8. 容器数据持久化：数据卷、绑定挂载、tmpfs

9. 容器网络基础：bridge、host、none、overlay

10. 容器镜像仓库操作：登录、推送、拉取、标签管理

11. 容器运维工具：Portainer、Lazydocker、ctop

12. 容器化改造最佳实践：12要素应用、环境变量配置

专题二：Docker容器管理与运维

1. Docker架构解析：客户端、守护进程、containerd、runc

2. Dockerfile编写规范与优化技巧（多阶段构建、层缓存）

3. Docker Compose多容器编排：服务定义、网络、卷

4. Docker Swarm集群模式：节点管理、服务部署、滚动更新

5. Docker私有仓库搭建：Harbor部署、镜像复制、垃圾回收

6. Docker镜像安全扫描：Trivy、Clair集成

7. Docker守护进程配置：镜像加速、日志驱动、存储驱动

8. Docker网络高级配置：自定义网络、容器间通信

9. Docker存储驱动选择：overlay2、devicemapper对比

10. Docker容器监控：cAdvisor、Prometheus采集Docker指标

11. Docker日志收集：Fluentd/Logstash驱动配置

12. 综合实战：基于Docker Compose部署WordPress并配置持久化

专题三：容器网络与存储运维

1. 容器网络模型：CNM（Docker）与CNI（K8s）对比

2. Docker网络驱动：bridge、overlay、macvlan、ipvlan

3. Overlay网络原理：VXLAN、GENEVE封装

4. 跨主机容器通信方案：Flannel、Calico、Weave

5. 网络策略与隔离：基于标签的网络访问控制

6. 容器存储驱动机制：映射、挂载、卷插件

7. 容器卷管理：创建、备份、恢复、迁移

8. 分布式存储集成：Ceph RBD、GlusterFS、NFS

9. 容器存储性能调优：IOPS、带宽限制

10. 容器存储监控：容量、性能、健康状态

11. 存储快照与克隆技术：CSI快照功能

12. 综合实战：部署Calico网络策略并测试跨节点通信

专题四：Kubernetes集群部署与升级

1. Kubernetes架构组件详解：API Server、Controller Manager、Scheduler、etcd

2. 集群部署方式：kubeadm、二进制、托管云服务（EKS/AKS/GKE）

3. 高可用集群设计：多Master负载均衡、etcd集群

4. 集群节点管理：添加、删除、隔离、维护

5. 集群版本升级策略：版本兼容性、升级顺序、回滚

6. 集群证书管理：证书续期、轮换、备份

7. 集群资源管理：Namespace、资源配额（ResourceQuota）、LimitRange

8. 节点资源管理：节点污点（Taints）、标签、节点维护

9. 集群访问控制：kubeconfig、RBAC、ServiceAccount

10. 集群备份与恢复：etcd备份、Velero应用备份

11. 多集群管理：KubeFed、Cluster API

12. 综合实战：使用kubeadm部署高可用K8s集群并升级版本

专题五：Kubernetes工作负载运维

1. Pod生命周期管理：创建、调度、运行、终止

2. Pod健康检查：livenessProbe、readinessProbe、startupProbe

3. 控制器管理：Deployment、StatefulSet、DaemonSet、Job/CronJob

4. 滚动更新与回滚策略：maxSurge、maxUnavailable、历史版本

5. 水平自动伸缩（HPA）：基于CPU/内存/自定义指标

6. 垂直自动伸缩（VPA）：资源推荐、自动调整

7. 资源请求与限制：服务质量（QoS）等级

8. 调度策略配置：节点亲和性、Pod亲和性/反亲和性

9. 优先级与抢占：PriorityClass、抢占策略

10. 作业管理与批处理：并行度、重试策略、TTL

11. 有状态应用运维：StatefulSet持久化、有序扩缩容

12. 综合实战：部署无状态应用并配置HPA自动伸缩

专题六：Kubernetes网络与Ingress运维

1. Kubernetes网络模型：每个Pod一个IP、Pod间直接通信

2. Service类型与实现：ClusterIP、NodePort、LoadBalancer、ExternalName

3. Service底层实现：iptables、IPVS模式对比

4. Ingress控制器选型：Nginx Ingress、Traefik、Contour

5. Ingress资源配置：路由规则、TLS终止、注解配置

6. 网络策略（NetworkPolicy）：入站/出站规则、标签选择器

7. 多集群网络互联：Submariner、Cilium Cluster Mesh

8. 负载均衡器集成：MetalLB（裸金属）、云厂商LB

9. 服务发现：CoreDNS配置、自定义DNS

10. 网络性能优化：MTU调整、连接追踪优化

11. 网络故障排查工具：tcpdump、netshoot、kubectl exec

12. 综合实战：配置Ingress与NetworkPolicy实现外部访问和内部隔离

专题七：Kubernetes存储与数据管理

1. 存储卷类型：emptyDir、hostPath、configMap、secret、持久卷

2. PV/PVC体系：静态供给、动态供给、回收策略

3. 存储类（StorageClass）配置：provisioner、参数、绑定模式

4. 有状态应用存储：StatefulSet的VolumeClaimTemplate

5. CSI驱动机制：接口规范、动态供给、快照/克隆

6. 常用存储插件：NFS、Ceph RBD、云存储（EBS/PD）

7. 数据备份与恢复：Velero配置、备份计划、恢复演练

8. 数据迁移工具：Stash、Restic

9. 存储性能监控：容量、IOPS、延迟监控

10. 存储容量规划与告警

11. 本地持久化存储：Local PV配置与限制

12. 综合实战：配置StorageClass动态供给并部署有状态应用

专题八：容器安全与合规运维

1. 容器安全威胁模型：镜像漏洞、运行时攻击、配置风险

2. 镜像安全扫描：Trivy、Clair、Harbor扫描

3. 镜像签名与验证：Notary、Cosign

4. 容器运行时安全：非root运行、只读文件系统、能力（Capabilities）限制

5. Kubernetes安全配置：RBAC最小权限、Pod安全上下文

6. Pod安全策略（PSP）与PodSecurity准入控制器

7. 网络安全策略：NetworkPolicy、服务网格mTLS

8. 容器运行时监控：Falco异常行为检测

9. 合规性检查：CIS Benchmark for Kubernetes、kube-bench

10. 镜像仓库安全：访问控制、加密传输、镜像清理

11. 供应链安全：SBOM（软件物料清单）、可信构建

12. 综合实战：配置Pod安全上下文与NetworkPolicy实施最小权限

专题九：容器监控与日志管理

1. 容器监控体系：指标、日志、追踪

2. Prometheus监控架构：Pull模型、服务发现、指标存储

3. 常用Exporter：node_exporter、cadvisor、kube-state-metrics

4. PromQL查询语言：基础查询、聚合、函数

5. Grafana可视化：数据源配置、仪表盘设计、告警配置

6. 告警管理：Alertmanager配置、路由、抑制、静默

7. 容器日志采集方案：EFK（Elasticsearch+Fluentd+Kibana）

8. Loki轻量级日志聚合：Promtail采集、LogQL查询

9. 日志生命周期管理：轮转、归档、保留策略

10. 分布式追踪：Jaeger、SkyWalking与Istio集成

11. 监控与日志告警联动：基于日志的告警配置

12. 综合实战：部署Prometheus+Grafana监控K8s集群

专题十：容器化CI/CD与GitOps

1. 容器化CI/CD流程：镜像构建、测试、部署

2. Jenkins Pipeline集成Docker：动态Agent、Docker构建

3. GitLab CI/CD：.gitlab-ci.yml配置、Runner部署

4. 镜像构建优化：缓存复用、并行构建、多架构构建

5. 容器镜像版本管理：标签策略、不可变镜像

6. CI/CD中安全扫描集成：镜像扫描、密钥检测

7. GitOps理念：声明式配置、版本控制、自动同步

8. ArgoCD部署与配置：应用定义、同步策略、Webhook

9. Flux CD原理与部署：Helm集成、自动化更新

10. 蓝绿部署与金丝雀发布实践：Istio流量控制

11. CI/CD与K8s集成：Kubectl插件、Helm部署

12. 综合实战：基于GitLab CI + ArgoCD实现GitOps

专题十一：服务网格（Istio）运维实践

1. 服务网格架构：数据平面（Envoy）、控制平面（Istiod）

2. Istio安装配置：Profile选择、sidecar注入、多集群

3. 流量管理：VirtualService、DestinationRule、Gateway

4. 高级路由：金丝雀发布、A/B测试、请求镜像

5. 弹性能力：超时、重试、熔断、限流配置

6. 可观测性集成：Prometheus指标、Grafana、Kiali拓扑

7. 分布式追踪：Jaeger集成、请求追踪配置

8. 安全能力：mTLS自动加密、授权策略（AuthorizationPolicy）

9. Istio运维管理：配置校验、版本升级、性能调优

10. 多集群服务网格：跨集群服务发现、流量镜像

11. 服务网格排障工具：istioctl analyze、Envoy日志

12. 综合实战：部署Istio并实现金丝雀发布与mTLS

专题十二：容器化故障排查与性能优化

1. 故障排查方法论：问题现象、影响范围、根因定位

2. Pod启动故障排查：镜像拉取失败、CrashLoopBackOff

3. Pod网络故障排查：DNS解析、Service连通性

4. 存储故障排查：PV挂载失败、权限问题、容量满

5. 节点故障处理：NotReady状态、资源耗尽

6. 性能瓶颈定位：CPU/内存/磁盘/网络热点分析

7. 容器资源竞争排查：CPU throttle、OOM Kill

8. 应用性能分析：Arthas、async-profiler、JVM监控

9. 网络延迟与丢包排查：tcpdump、Wireshark分析

10. 集群控制平面故障：API Server延迟、etcd慢查询

11. 性能优化实践：内核参数调优、镜像瘦身、启动加速

12. 综合实战：模拟容器化应用故障并完成全链路排查