刚好在做集成测试的Docker Compose环境时踩过这些坑，给你分享几个经过实践验证的解决方案：

问题1：运行端口重叠的多个Docker Compose环境并实现网络互通 #

核心思路是用自定义共享网络隔离主机端口，同时让多个Compose环境的容器在同一虚拟网络内互通，具体步骤如下：

1. 先创建一个全局共享的自定义网桥，所有测试环境的容器都加入这个网络：

   docker network create integration-test-shared-net
   

2. 在每个项目的docker-compose.yml中，指定使用这个外部共享网络，并且不要写ports指令（避免映射主机端口导致冲突）：

   version: '3.8'
   services:
     api-service:
       build: .
       # 容器间通过服务名直接通信，无需映射主机端口
       networks:
         - shared-net
     db-service:
       image: postgres:15-alpine
       networks:
         - shared-net
   
   networks:
     shared-net:
       external: true
       name: integration-test-shared-net
   

3. 运行每个项目时，用-p指定唯一的项目名（避免默认用目录名导致资源冲突）：

   # 启动第一个测试项目
   docker-compose -p test-project-1 up -d
   # 启动第二个测试项目
   docker-compose -p test-project-2 up -d
   

这样，test-project-1里的api-service可以直接用db-service:5432访问test-project-2里的数据库服务，所有端口都在容器内部网络使用，完全不会出现主机端口重叠的问题。

问题2：锁定服务器，禁止Docker Compose暴露服务器端口 #

要实现完全的虚拟空间隔离，需要从配置和运行两个层面严格控制：

• 彻底移除ports指令：ports是容器端口映射到主机的唯一途径，只要不写这个指令，容器端口只会在内部网络可见，外部（包括服务器主机）都无法直接访问。如果只是需要声明容器开放的端口（用于容器间通信），可以用expose指令（仅做文档声明，无实际映射）：

  services:
    test-service:
      build: .
      expose:
        - "8080" # 仅告知容器开放该端口，不映射到主机
  

• 配置内部网络：把Compose的默认网络设置为internal: true，彻底切断容器与外部网络的连接，完全隔离在虚拟空间内：

  networks:
    default:
      internal: true
  

• 禁止自动发布端口：运行时绝对不要使用-P或--publish-all参数，这个参数会自动把容器暴露的端口随机映射到主机，直接破坏隔离性。

• 临时调试的折中方案：如果确实需要在服务器本地调试，必须映射端口时，仅绑定到127.0.0.1，这样只有服务器本地能访问，外部无法连接：

  ports:
    - "127.0.0.1:8080:8080"
  

问题3：安全地通过Dockerfile构建任意镜像 #

安全构建镜像需要从基础镜像选择、构建过程、镜像内容三个维度入手，关键实践如下：

• 优先使用官方可信基础镜像：选择Docker Hub上的官方镜像（比如python:3.11-alpine、nginx:stable-alpine），避免使用未知第三方镜像，减少恶意代码植入风险。

• 用多阶段构建减少攻击面：拆分构建和运行阶段，只保留运行时必需的文件，大幅缩小镜像体积和潜在漏洞：

  # 构建阶段：安装编译工具和依赖
  FROM node:20-slim AS builder
  WORKDIR /app
  COPY package*.json ./
  RUN npm ci
  
  # 运行阶段：使用轻量镜像，仅复制编译后的代码
  FROM node:20-alpine
  WORKDIR /app
  COPY --from=builder /app/node_modules ./node_modules
  COPY src/ ./src/
  # 创建非root用户运行应用
  RUN addgroup -S appgroup && adduser -S appuser -G appgroup
  USER appuser
  CMD ["npm", "start"]
  

• 以非root用户运行容器：在Dockerfile中创建普通用户，切换后再启动应用，避免容器以root权限运行带来的越权风险。

• 清理构建残留和敏感信息：构建过程中及时清理包管理缓存、临时文件，绝对不要把密钥、密码等敏感数据写入镜像：

  # Debian/Ubuntu系统清理缓存
  RUN apt-get update && apt-get install -y --no-install-recommends \
      curl \
      && apt-get clean \
      && rm -rf /var/lib/apt/lists/*
  
  # 敏感数据用build args传递，用完即删，不留在镜像中
  ARG API_KEY
  RUN echo $API_KEY > /tmp/token && rm /tmp/token
  

• 扫描镜像漏洞：构建完成后用docker scan命令扫描已知漏洞，或在CI/CD流程中集成扫描工具，提前发现风险：

  docker scan my-test-image:latest
  

• 用.dockerignore排除敏感文件：创建.dockerignore文件，排除.env、*.key、.git等不需要的文件，避免它们被加入构建上下文：

  .env
  *.key
  node_modules
  .git
  

内容的提问来源于stack exchange，提问作者Dr.Knowitall