线上PHP容器不强制挂载宿主机目录;应构建时COPY代码进镜像,仅按需挂载日志、上传等持久化路径,避免权限错乱、opcache失效及破坏不可变基础设施原则。
PHP 容器要不要挂载宿主机目录?看用途,不强制共目录
绝大多数线上 PHP 应用(如 Laravel、ThinkPHP)跑在 Docker 里时,不需要实时共享源码目录。镜像构建阶段就把代码 COPY 进去了,容器启动后靠镜像里的文件运行,稳定且可复现。只有开发调试、热重载或日志/上传文件需持久化时,才按需挂载特定路径(比如 /var/www/html 或 /var/log/php-fpm),而非整个项目目录。
线上部署推荐:构建时 COPY 代码,运行时不挂载源码
这么做避免了权限错乱、inode 不一致、opcache 失效、Git 元数据泄露等隐患。常见错误是把本地 ./src 直接 -v ./src:/var/www/html 挂进生产容器——这会让容器行为依赖宿主机状态,破坏不可变基础设施原则。
- 构建阶段用
Dockerfile的COPY . /var/www/html把代码打进镜像 - 上线只运行
docker run -p 80:80 my-php-app,不加-v - 若需外部配置(如
.env),用--env-file或-e注入,而不是挂载整个配置目录 - 上传目录(如
public/uploads)可单独挂载,但要确保容器内用户(如 www-data)有写权限
必须挂载的例外场景和注意事项
真正需要绑定挂载的,通常是容器无法自行持久化的数据:日志、缓存、用户上传内容、SSL 证书。这些路径挂载时得特别注意权限和 SELinux/AppArmor 限制。
- 日志目录(如
/var/log/nginx、/var/log/php-fpm)挂载后,确认容器内进程 uid/gid 能写入(常见坑:www-data在 Alpine 和 Debian 基础镜像中 uid 不同) - 上传目录挂载时,建议用命名卷(
docker volume create php-uploads)代替-v /host/path,更易迁移和权限管理 - 如果非要用宿主机路径挂载,启动命令加
:z(SELinux)或:Z(私有标签),例如-v /data/uploads:/var/www/html/public/uploads:z -
php.ini或nginx.conf若需动态调整,优先用ENV变量 + 启动脚本生成,而非挂载整个配置目录
为什么开发用挂载、线上不用?关键在生命周期管理
开发时挂载源码是为了改完保存立刻生效,省去 rebuild 镜像;但线上要求的是版本可控、环境一致、故障可回滚。每次部署都该基于明确 tag 的镜像(如 myapp:2024.06.15),而不是“当前目录最新代码”。容器里跑的 PHP 进程看到的文件系统应完全由镜像定义,宿主机只是调度和存储载体。
立即学习“PHP免费学习笔记(深入)”;
最容易被忽略的是 opcache 和 realpath 缓存:挂载目录后,PHP 可能因 inode 变化反复清空缓存,导致性能抖动;而 COPY 进镜像的文件 inode 固定,opcache 更稳定。这点在线上高并发场景下尤为明显。
