Stacks sauber strukturieren
Jeder Dienst braucht nachvollziehbare Compose-Dateien, definierte Netzwerke, Volumes, Restart-Policies und klare Umgebungsvariablen.
Container Operations
Docker & Betrieb
Docker produktiv betreiben: Compose, Swarm, Traefik, Netzwerke, Volumes, Backups, Monitoring und reproduzierbare Deployment-Automation.
Betriebsmodell
Container sind nur dann stark, wenn der Betrieb sauber ist.
Docker ist kein Selbstläufer. Produktiver Betrieb braucht klare Stack-Strukturen, kontrollierte Netzwerke, persistente Daten, Backups, Logging, Monitoring und sichere Updates.
Reverse Proxy zentralisieren
TLS, Host-Rules, Router, Services und Middlewares gehören zentral gesteuert. So bleiben Dienste erreichbar, aber kontrolliert.
Daten bewusst speichern
Container sind ersetzbar. Daten nicht. Volumes, Datenbanken und Konfigurationen müssen eindeutig abgelegt und gesichert werden.
Zustand sichtbar machen
CPU, RAM, Disk, Containerstatus, HTTP-Verfügbarkeit und Zertifikate müssen überwacht werden, bevor Nutzer Fehler melden.
Multi-Node-Betrieb verstehen
Docker Swarm bringt Replicas, Rolling Updates und Placement Constraints. Ohne synchronisierte Daten entstehen aber schnell inkonsistente Deployments.
Deployments reproduzierbar machen
Änderungen gehören in Git, Deployments in Ansible oder CI/CD. Manuelle Container-Klickerei ist keine belastbare Betriebsstrategie.
Traefik
Der Reverse Proxy ist die Eingangstür.
In einem Docker-Setup ist Traefik oft der zentrale Einstiegspunkt für Webdienste. Entscheidend sind korrekte Host-Regeln, TLS-Konfiguration, Middleware-Reihenfolge, Netzwerkzuordnung und Service-Port.
Host(`app.example.tld`)
websecure
certresolver=le
loadbalancer.server.port
Traefik-Router prüfen
curl -s http://127.0.0.1:8082/api/http/routers | jq
docker service inspect SERVICE --pretty
docker logs traefik --tail=100
Volumes & Daten
Container kann man löschen. Daten nicht.
Der größte Docker-Fehler ist die Annahme, dass ein laufender Container gleichbedeutend mit sicherem Betrieb ist. Entscheidend ist, wo Daten liegen und ob sie wiederherstellbar sind.
bind mounts
named volumes
database dumps
restore tests
Volumes und Mounts prüfen
docker volume ls
docker inspect CONTAINER | jq '.[0].Mounts'
du -sh /opt/* /var/lib/docker/volumes/*
Docker Baseline
Was jeder produktive Docker-Host braucht.
Ein Docker-Host sollte nicht nur Container starten. Er muss nachvollziehbar, wiederherstellbar und kontrollierbar betrieben werden.
Stack-Standard
- Ein Dienst pro sauberem Stack-Verzeichnis
- .env-Dateien nicht öffentlich machen
- Netzwerke bewusst benennen
- Labels konsistent dokumentieren
Proxy & Security
- Traefik nur auf benötigten EntryPoints
- TLS automatisch und überprüfbar
- Security-Headers zentral setzen
- CrowdSec oder Rate-Limits ergänzen
Backup & Restore
- Volumes sichern
- Datenbanken exportieren
- Compose-Dateien versionieren
- Restore regelmäßig testen
Swarm-Falle
Replicas brauchen identische Datenstände.
Wenn ein Swarm-Service auf mehreren Nodes läuft, aber statische Dateien oder Volumes nur auf einem Node aktualisiert wurden, liefert Traefik je nach Ziel-Replica unterschiedliche Ergebnisse. Genau deshalb braucht ein Multi-Node-Setup synchronisierte Daten oder klare Placement Constraints.
Die neue Datei liegt nur auf einem Host. Diese Replica liefert korrekt.
Artikel öffnen →Andere Replica hat alte Dateien oder fehlende Ordner. Ergebnis: 404 oder altes Layout.
Artikel öffnen →Webroot per Ansible oder rsync auf alle Website-Nodes verteilen.
Artikel öffnen →Services nur auf Nodes laufen lassen, die wirklich vorbereitet sind.
Artikel öffnen →Typische Fehler
Die Docker-Klassiker, die später wehtun.
Docker vereinfacht Deployments, aber versteckt Komplexität. Wer diese Fehler vermeidet, spart sich später viel Debugging.
latest blind nutzen
Images mit :latest sind bequem, aber riskant. Updates sollten bewusst getestet
und versioniert ausgerollt werden.
Keine Healthchecks
Ein Container kann laufen, obwohl die Anwendung darin kaputt ist. Healthchecks machen diesen Unterschied sichtbar.
Artikel öffnen →Secrets in Compose
Passwörter gehören nicht ungeprüft in Repositories. Mindestens .env absichern, besser Secrets-Management nutzen.
Artikel öffnen →Kein Restore-Test
Backups ohne Restore-Test sind nur Hoffnung. Ein Restore muss regelmäßig real geprüft werden.
Artikel öffnen →Falsches Netzwerk
Traefik und Backend müssen im selben Docker-Netz hängen. Sonst existiert der Router, aber der Service ist nicht erreichbar.
Artikel öffnen →Keine Logs
Ohne zentrale Logs wird aus Fehlersuche Ratespiel. Containerlogs müssen gezielt gesammelt und rotiert werden.
Artikel öffnen →Nächste Artikel
Geplante Docker-Deep-Dives.
Diese Themen werden als eigene Artikel ausgebaut und später direkt aus dieser Seite verlinkt.
Traefik v3 im Docker-Swarm sauber betreiben
Router, Services, Netzwerke, TLS, Middlewares und Debugging.
Artikel öffnen →Docker-Volumes und Datenbanken sichern
Backup-Strategien mit Restore-Test statt reiner Dateiablage.
Docker-Hosts mit Prometheus und Grafana überwachen
Node Exporter, cAdvisor, Blackbox und Alerting sinnvoll kombinieren.
Produktiver Betrieb
Docker braucht Disziplin, nicht nur Container.
Saubere Stacks, klare Netzwerke, kontrollierte Updates und getestete Backups machen aus Docker-Spielerei eine belastbare Betriebsplattform.