Docker Compose 全栈编排实战：Vue + FastAPI + Nginx 一键起飞

引子：为什么你需要 Docker Compose？#

如果你只跑一个容器，docker run 就够了。但真实项目永远不止一个容器——前端、后端、数据库、缓存、反向代理，每个都有自己的端口、环境变量、启动顺序。手动管理这些容器就像同时遛五条狗，迟早缠在一起。

Docker Compose 就是那根遛狗绳——一个 YAML 文件定义所有服务，一条命令全部拉起。

今天我们不搞 Hello World，直接上生产级架构：Vue3 前端 + FastAPI 后端 + PostgreSQL 数据库 + Nginx 反向代理，四个服务协同编排，一键起飞。

项目架构总览#

先看最终的目录结构：

1
fullstack-app/
2
├── docker-compose.yml          # 编排核心
3
├── docker-compose.prod.yml     # 生产环境覆盖
4
├── .env                        # 环境变量
5
├── frontend/
6
│   ├── Dockerfile
7
│   ├── nginx.conf              # 前端 Nginx 配置
8
│   ├── src/
9
│   └── package.json
10
├── backend/
11
│   ├── Dockerfile
12
│   ├── requirements.txt
13
│   ├── app/
14
│   │   ├── main.py
15
│   │   ├── models.py
16
│   │   └── database.py
17
│   └── alembic/
18
├── nginx/
19
│   └── nginx.conf              # 反向代理配置
20
└── scripts/
21
    └── init-db.sql             # 数据库初始化

四个服务的关系：

服务	角色	端口	依赖
`nginx`	反向代理入口	80/443 → 外部	frontend, backend
`frontend`	Vue3 SPA	3000 (内部)	无
`backend`	FastAPI API	8000 (内部)	db
`db`	PostgreSQL	5432 (内部)	无

注意：除了 Nginx 的 80 端口，其他服务全部只暴露内部端口，外部无法直接访问。这是生产环境的基本安全原则。

第一步：编写各服务的 Dockerfile#

后端 Dockerfile（FastAPI）#

1
# backend/Dockerfile
2
FROM python:3.12-slim AS base
3

4
# 安全：不用 root 运行
5
RUN groupadd -r appuser && useradd -r -g appuser appuser
6

7
WORKDIR /app
8

9
# 依赖层单独缓存（关键优化）
10
COPY requirements.txt .
11
RUN pip install --no-cache-dir -r requirements.txt
12

13
# 复制应用代码
14
COPY app/ ./app/
15
COPY alembic/ ./alembic/
16
COPY alembic.ini .
17

18
# 切换到非 root 用户
19
USER appuser
20

21
EXPOSE 8000
22

23
CMD ["uvicorn", "app.main:app", "--host", "0.0.0.0", "--port", "8000"]

为什么这样写？ 三个关键点：

依赖层分离：先 COPY requirements.txt 再 COPY 代码。改代码不会触发重新安装依赖，构建速度提升 5-10 倍。
非 root 用户：容器内用 root 跑应用是安全大忌。一旦容器被攻破，攻击者直接拿到 root 权限。
--no-cache-dir：pip 默认缓存下载的包，在容器里纯粹浪费空间。

前端 Dockerfile（Vue3 多阶段构建）#

1
# frontend/Dockerfile
2
FROM node:20-alpine AS builder
3

4
WORKDIR /app
5
COPY package.json pnpm-lock.yaml ./
6
RUN corepack enable && pnpm install --frozen-lockfile
7

8
COPY . .
9
RUN pnpm build
10

11
# --- 生产镜像 ---
12
FROM nginx:alpine AS production
13

14
COPY --from=builder /app/dist /usr/share/nginx/html
15
COPY nginx.conf /etc/nginx/conf.d/default.conf
16

17
EXPOSE 3000
18

19
CMD ["nginx", "-g", "daemon off;"]

多阶段构建的效果：构建阶段有 Node.js 和 node_modules（约 500MB），但最终镜像只有 Nginx + 静态文件（约 30MB）。镜像体积缩小 94%。

前端的 Nginx 配置处理 SPA 路由：

1
server {
2
    listen 3000;
3
    root /usr/share/nginx/html;
4
    index index.html;
5

6
    # SPA 路由：所有未匹配的路径都返回 index.html
7
    location / {
8
        try_files $uri $uri/ /index.html;
9
    }
10

11
    # 静态资源长缓存
12
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff2?)$ {
13
        expires 1y;
14
        add_header Cache-Control "public, immutable";
15
    }
16

17
    # 禁止访问隐藏文件
18
    location ~ /\. {
19
        deny all;
20
    }
21
}

第二步：编写 docker-compose.yml#

这是编排的核心，一个文件定义四个服务的关系：

1
services:
2
  # ---------- 数据库 ----------
3
  db:
4
    image: postgres:16-alpine
5
    restart: unless-stopped
6
    environment:
7
      POSTGRES_DB: ${DB_NAME:-myapp}
8
      POSTGRES_USER: ${DB_USER:-postgres}
9
      POSTGRES_PASSWORD: ${DB_PASSWORD:?数据库密码不能为空}
10
    volumes:
11
      - postgres_data:/var/lib/postgresql/data
12
      - ./scripts/init-db.sql:/docker-entrypoint-initdb.d/init.sql:ro
13
    healthcheck:
14
      test: ["CMD-SHELL", "pg_isready -U ${DB_USER:-postgres}"]
15
      interval: 5s
16
      timeout: 3s
17
      retries: 5
18
    networks:
19
      - backend-net
20

21
  # ---------- 后端 ----------
22
  backend:
23
    build:
24
      context: ./backend
25
      dockerfile: Dockerfile
26
    restart: unless-stopped
27
    environment:
28
      DATABASE_URL: postgresql+asyncpg://${DB_USER:-postgres}:${DB_PASSWORD}@db:5432/${DB_NAME:-myapp}
29
      SECRET_KEY: ${SECRET_KEY:?JWT密钥不能为空}
30
      CORS_ORIGINS: ${CORS_ORIGINS:-http://localhost}
31
    depends_on:
32
      db:
33
        condition: service_healthy   # 等数据库健康后再启动
34
    networks:
35
      - backend-net
36
      - frontend-net
37

38
  # ---------- 前端 ----------
39
  frontend:
40
    build:
41
      context: ./frontend
42
      dockerfile: Dockerfile
43
    restart: unless-stopped
44
    networks:
45
      - frontend-net
46

47
  # ---------- Nginx 反向代理 ----------
48
  nginx:
49
    image: nginx:alpine
50
    restart: unless-stopped
51
    ports:
52
      - "${APP_PORT:-80}:80"
53
    volumes:
54
      - ./nginx/nginx.conf:/etc/nginx/conf.d/default.conf:ro
55
    depends_on:
56
      - frontend
57
      - backend
58
    networks:
59
      - frontend-net
60
      - backend-net
61

62
volumes:
63
  postgres_data:
64
    driver: local
65

66
networks:
67
  frontend-net:
68
    driver: bridge
69
  backend-net:
70
    driver: bridge

这个配置有几个值得细说的地方#

1. 健康检查（healthcheck）

depends_on 默认只等容器启动，不等服务就绪。PostgreSQL 容器启动后还要初始化数据库，可能要几秒。如果后端在数据库还没就绪时就连接，直接炸。

condition: service_healthy 配合 healthcheck 解决了这个问题：每 5 秒检查一次 pg_isready，连续通过后才算健康。

2. 环境变量带校验

1
POSTGRES_PASSWORD: ${DB_PASSWORD:?数据库密码不能为空}

${VAR:?error_message} 语法：如果环境变量未设置，Compose 直接报错并显示提示信息。比运行时报个 “connection refused” 强一万倍。

3. 网络隔离

两个网络：frontend-net 和 backend-net。数据库只在 backend-net 里，前端容器根本访问不到数据库。即使前端容器被攻破，攻击者也摸不到数据库。

4. 只读挂载

nginx.conf:/etc/nginx/conf.d/default.conf:ro 末尾的 :ro 表示只读挂载。容器内部无法修改配置文件，又一层安全保障。

第三步：环境变量管理#

创建 .env 文件（千万别提交到 Git）：

1
DB_NAME=myapp
2
DB_USER=postgres
3
DB_PASSWORD=your_super_secret_password_here
4
SECRET_KEY=your_jwt_secret_key_here
5
CORS_ORIGINS=http://localhost,https://yourdomain.com
6
APP_PORT=80

然后在 .gitignore 加上：

1
.env
2
!.env.example

同时提供一个 .env.example 作为模板：

1
# .env.example — 复制为 .env 并填写真实值
2
DB_NAME=myapp
3
DB_USER=postgres
4
DB_PASSWORD=CHANGE_ME
5
SECRET_KEY=CHANGE_ME
6
CORS_ORIGINS=http://localhost
7
APP_PORT=80

踩坑提醒：我见过太多人把 .env 推到公开仓库。GitHub 上搜 POSTGRES_PASSWORD 能搜出几万个真实密码。别成为其中之一。

第四步：Nginx 反向代理配置#

1
upstream frontend_server {
2
    server frontend:3000;
3
}
4

5
upstream backend_server {
6
    server backend:8000;
7
}
8

9
server {
10
    listen 80;
11
    server_name _;
12

13
    # 安全头
14
    add_header X-Frame-Options "SAMEORIGIN" always;
15
    add_header X-Content-Type-Options "nosniff" always;
16
    add_header X-XSS-Protection "1; mode=block" always;
17
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
18

19
    # API 请求转发到后端
20
    location /api/ {
21
        proxy_pass http://backend_server;
22
        proxy_set_header Host $host;
23
        proxy_set_header X-Real-IP $remote_addr;
24
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
25
        proxy_set_header X-Forwarded-Proto $scheme;
26

27
        # WebSocket 支持
28
        proxy_http_version 1.1;
29
        proxy_set_header Upgrade $http_upgrade;
30
        proxy_set_header Connection "upgrade";
31
    }
32

33
    # 其他请求转发到前端
34
    location / {
35
        proxy_pass http://frontend_server;
36
        proxy_set_header Host $host;
37
        proxy_set_header X-Real-IP $remote_addr;
38
    }
39

40
    # 健康检查端点
41
    location /health {
42
        access_log off;
43
        return 200 "OK";
44
    }
45
}

为什么用 Nginx 做反向代理而不是直接暴露前后端端口？

统一入口：用户只需要访问 80 端口，/api/* 自动转后端，其他走前端
安全头注入：所有响应统一加安全头
隐藏内部结构：外部不知道后端跑在 8000 端口、用的什么框架
未来扩展：加 HTTPS、负载均衡、限流，都在这一层改

第五步：后端核心代码#

1
from sqlalchemy.ext.asyncio import create_async_engine, AsyncSession
2
from sqlalchemy.orm import sessionmaker, DeclarativeBase
3
import os
4

5
DATABASE_URL = os.getenv("DATABASE_URL")
6

7
engine = create_async_engine(DATABASE_URL, echo=False, pool_size=20, max_overflow=10)
8
async_session = sessionmaker(engine, class_=AsyncSession, expire_on_commit=False)
9

10
class Base(DeclarativeBase):
11
    pass
12

13
async def get_db():
14
    async with async_session() as session:
15
        try:
16
            yield session
17
        finally:
18
            await session.close()

1
from fastapi import FastAPI, Depends
2
from fastapi.middleware.cors import CORSMiddleware
3
from sqlalchemy.ext.asyncio import AsyncSession
4
from sqlalchemy import text
5
import os
6

7
from app.database import get_db
8

9
app = FastAPI(title="FullStack App API", version="1.0.0")
10

11
# CORS 配置：从环境变量读取允许的源
12
origins = os.getenv("CORS_ORIGINS", "http://localhost").split(",")
13
app.add_middleware(
14
    CORSMiddleware,
15
    allow_origins=origins,
16
    allow_credentials=True,
17
    allow_methods=["*"],
18
    allow_headers=["*"],
19
)
20

21
@app.get("/api/health")
22
async def health_check(db: AsyncSession = Depends(get_db)):
23
    """健康检查：同时验证 API 和数据库连接"""
24
    try:
25
        await db.execute(text("SELECT 1"))
26
        return {"status": "healthy", "database": "connected"}
27
    except Exception as e:
28
        return {"status": "degraded", "database": str(e)}
29

30
@app.get("/api/info")
31
async def app_info():
32
    return {
33
        "app": "FullStack Demo",
34
        "version": "1.0.0",
35
        "environment": os.getenv("ENV", "development")
36
    }

为什么用 asyncpg + AsyncSession？ PostgreSQL 的异步驱动比同步驱动快 2-3 倍（在高并发场景下），而且和 FastAPI 的异步模型天然契合。同步驱动会阻塞事件循环，高并发时直接卡死。

第六步：启动和常用命令#

开发环境一键启动#

1
# 首次启动（构建 + 启动）
2
docker compose up --build
3

4
# 后台运行
5
docker compose up --build -d
6

7
# 查看所有服务状态
8
docker compose ps
9

10
# 查看后端日志（实时）
11
docker compose logs -f backend
12

13
# 只重启后端
14
docker compose restart backend

生产环境覆盖文件#

创建 docker-compose.prod.yml 覆盖开发配置：

1
services:
2
  backend:
3
    restart: always
4
    environment:
5
      ENV: production
6
    deploy:
7
      resources:
8
        limits:
9
          memory: 512M
10
          cpus: "0.5"
11

12
  db:
13
    restart: always
14
    deploy:
15
      resources:
16
        limits:
17
          memory: 256M
18

19
  nginx:
20
    restart: always
21
    deploy:
22
      resources:
23
        limits:
24
          memory: 128M

启动生产环境：

1
docker compose -f docker-compose.yml -f docker-compose.prod.yml up -d

-f 参数叠加多个配置文件，后面的覆盖前面的。开发环境不限制资源方便调试，生产环境加上内存和 CPU 限制防止单个服务吃光资源。

数据管理#

1
# 备份数据库
2
docker compose exec db pg_dump -U postgres myapp > backup_$(date +%Y%m%d).sql
3

4
# 恢复数据库
5
docker compose exec -T db psql -U postgres myapp < backup_20260504.sql
6

7
# 查看数据卷
8
docker volume ls | grep postgres_data
9

10
# ⚠️ 危险：删除所有数据
11
docker compose down -v   # -v 会删除 volume！

血泪教训：docker compose down 不删数据，docker compose down -v 删数据。一个 -v 的区别，差点让我加班到凌晨恢复数据库。

常见坑和排查指南#

坑1：服务之间连不通#

症状：后端报 connection refused，连不上数据库。

原因：在 DATABASE_URL 里写了 localhost:5432。容器之间不是 localhost，要用服务名（即 docker-compose.yml 里定义的名字）。

1
# ❌ 错误
2
DATABASE_URL=postgresql://postgres:pass@localhost:5432/myapp
3

4
# ✅ 正确（db 是服务名）
5
DATABASE_URL=postgresql://postgres:pass@db:5432/myapp

坑2：数据库还没就绪，后端就开始连#

症状：后端启动报错，重启几次后正常。

解决：用 healthcheck + condition: service_healthy（前面的配置已经解决了这个问题）。

坑3：修改代码后不生效#

症状：改了代码，docker compose up 但还是旧版本。

原因：Docker 有层缓存，如果 Dockerfile 没变，不会重新构建。

1
# 强制重新构建
2
docker compose up --build
3

4
# 核武器：清掉所有缓存
5
docker compose build --no-cache

坑4：磁盘被吃满#

1
# 查看 Docker 磁盘占用
2
docker system df
3

4
# 清理无用镜像、容器、网络
5
docker system prune -f
6

7
# 连构建缓存一起清理（释放更多空间）
8
docker builder prune -f

我在生产服务器上遇到过磁盘满导致数据库崩溃的情况。建议设个 cron 定期清理：

1
# 每周日凌晨3点清理
2
0 3 * * 0 docker system prune -f >> /var/log/docker-prune.log 2>&1

性能对比：裸机 vs Docker#

实测数据（同一台 4C8G 服务器）：

指标	裸机部署	Docker Compose	差异
API 响应延迟 (P50)	12ms	13ms	+8%
API 响应延迟 (P99)	45ms	52ms	+15%
内存占用	380MB	450MB	+18%
部署时间	15-30min	2min	-93%
环境一致性	看运气	100%	∞
回滚速度	手动恢复	30s	-98%

性能有微小损耗（主要来自网络层和文件系统层），但部署效率和环境一致性的提升是碾压级的。

总结：从单容器到编排的思维转变#

Docker Compose 不只是”把多个 docker run 写到一个文件里”。它改变了你思考部署的方式：

声明式 > 命令式：描述”我要什么”而不是”怎么做”
服务是一等公民：每个服务有自己的网络、存储、生命周期
环境即代码：.env + docker-compose.yml 就是完整的部署文档
隔离是默认的：不同网络、不同用户、只读挂载

如果你的项目还在用”SSH 上去手动装依赖、改配置、重启服务”的方式部署，是时候切换到 Compose 了。初始投入半天，之后每次部署省半小时。

下一篇我们聊 Docker 的日志管理和监控——容器跑起来只是开始，能不能在出问题时快速定位才是真本事。

音乐

音乐