Docker容器健康检查怎么搞清楚点，原生机制那些事儿全解析

Docker容器健康检查,说白了就是让Docker引擎能自动判断一个容器是在“健康”工作，还是“生病”了（比如无响应、卡死了），甚至是“挂了”，在没有这个功能之前，我们只能通过看容器进程是不是还在来判断，但这很不准确，进程在，不代表服务正常，比如一个Web服务器进程还在，但它可能已经无法处理新的请求了。

Docker原生提供了一套内置的健康检查机制,不需要依赖外部的监控工具，直接在容器层面就能搞定，这套机制的核心就是让Docker定期在容器内部执行一个命令，根据这个命令的退出状态码来判断容器的健康状况。

健康状态有三种：

• starting（启动中）： 这是容器刚启动时的一个短暂状态。
• healthy（健康）： 表示容器工作正常。
• unhealthy（不健康）： 表示容器出了问题。

这个机制是怎么运作的呢？ 关键就在于你在定义容器时，需要告诉Docker一个“健康检查命令”，这个命令可以是任何能在容器内执行的东西，比如一个简单的curl命令，一个专门的健康检查脚本，或者一个应用程序内置的健康检查端点。

Docker守护进程会按照你设定的时间间隔,在容器内部执行这个命令。

• 如果命令成功退出（退出状态码为0），Docker就认为这次检查通过，容器是健康的。
• 如果命令失败（退出状态码非0），Docker就认为这次检查失败，当连续失败的次数达到你设定的“重试次数”阈值时，Docker就会把容器的状态标记为“unhealthy”。

具体怎么用呢？ 主要有两种方式：在Dockerfile里定义，或者在docker run命令或者docker-compose.yml文件里指定。

在Dockerfile里定义（来源：Docker官方文档 - HEALTHCHECK指令） 你可以在制作镜像的Dockerfile中加入HEALTHCHECK指令，这样所有基于这个镜像运行的容器，默认都会带有这个健康检查配置。 举个例子：

FROM nginx:latest
# 使用curl检查本地80端口是否能够正常响应
# --fail 表示如果HTTP响应码是400以上，就算失败
# --silent 让curl安静执行
# --output /dev/null 把输出丢弃
HEALTHCHECK --interval=30s --timeout=10s --start-period=5s --retries=3 \
    CMD curl --fail --silent --output /dev/null http://localhost/ || exit 1

这段代码的意思是：

• --interval=30s：每30秒检查一次。
• --timeout=10s：每次检查命令的执行时间最多10秒，超时就算这次检查失败。
• --start-period=5s：给容器一个启动时间，在容器启动后的5秒内，即使检查失败也不会计入重试次数，这是考虑到有些服务启动需要时间，避免一启动就被判为不健康。
• --retries=3：连续3次检查失败，才将状态置为unhealthy。
• CMD：就是要执行的命令，这里用curl访问本地的Nginx首页，如果访问失败（|| exit 1），就返回状态码1。

在docker run命令里指定（来源：Docker官方文档 - docker run选项） 如果你不想修改镜像，或者在运行时有特殊要求，可以在启动容器时直接覆盖健康检查设置。

docker run \
  --health-cmd="curl --fail http://localhost/ || exit 1" \
  --health-interval=30s \
  --health-retries=3 \
  --health-start-period=10s \
  --health-timeout=5s \
  my-web-app

这里的参数含义和Dockerfile里的完全一样,只是写法不同。

在Docker Compose里定义（来源：Docker Compose官方文档 - healthcheck配置） 在编排多个容器时，在docker-compose.yml文件里配置最方便。

version: '3.8'
services:
  web:
    image: my-web-app
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost/"]
      interval: 30s
      timeout: 10s
      retries: 3
      start_period: 5s

test字段就是定义要执行的命令。

知道了状态后，有什么用？ 当容器被标记为不健康时，Docker本身不会自动重启它（重启是重启策略负责的），但健康状态是一个非常关键的信号，可以被其他系统利用：

• Docker Compose： 你可以让一个服务（比如backend）依赖另一个服务（比如database），并设置condition: service_healthy，这样，只有当数据库容器健康后，后端容器才会启动。
• 编排工具： 像Docker Swarm或Kubernetes这类更高级的编排系统，可以根据健康检查结果自动重启失败的容器实例，或者将流量从不健康的实例上移走，实现自我修复。
• 监控告警： 监控系统（如Prometheus）可以收集容器的健康状态，一旦发现不健康的容器，就触发告警通知管理员。

需要注意的点

• 命令必须在容器内有效： 你用的检查命令（如curl, wget, ps）必须在你使用的容器镜像里存在，像基于Alpine的极简镜像可能默认没有curl，你需要自己在Dockerfile里安装。
• 开销问题： 检查频率太高会增加容器和主机的负担，需要根据实际情况平衡。
• 检查逻辑要合理： 检查命令要能真实反映应用的健康状况，只检查进程是否存在往往是不够的，最好能模拟一个真实的业务请求。

Docker的原生健康检查机制是一个轻量、实用且强大的工具，它通过一个可自定义的“探针”命令，让Docker引擎能够洞察容器内部服务的真实状态，为容器编排、服务依赖和系统监控提供了坚实的基础。