第十篇:《Dockerfile 最佳实践与镜像瘦身》

写完 Dockerfile 只是第一步,写出高效、安全、小巧的镜像才是生产级应用的要求。一个臃肿的镜像不仅浪费存储和带宽,还会拖慢部署和安全扫描。本文将总结 Dockerfile 的最佳实践,并介绍多种镜像瘦身技巧,让你的镜像"轻装上阵"。

一、基础镜像的选择

1.2 使用 scratch 空镜像

适用于静态编译的二进制文件(如 Go、Rust),可以构建只包含一个可执行文件的镜像,大小仅几 MB。

dockerfile

FROM scratch

COPY mybinary /mybinary

CMD "/mybinary"

二、层优化:减少层数 & 利用缓存

2.1 合并 RUN 命令

每一条 RUN、COPY 都会创建一个新层。将相关命令用 && 连接,减少层数。

dockerfile

RUN apt-get update

RUN apt-get install -y curl

RUN rm -rf /var/lib/apt/lists/*

RUN apt-get update && apt-get install -y curl

&& rm -rf /var/lib/apt/lists/*

2.2 合理安排指令顺序,最大化缓存

Docker 会缓存每一层,如果某层指令没变,后续层可以复用。因此,将不常变化的指令放在前面。

dockerfile

先复制依赖清单(变化少)

COPY package*.json ./

RUN npm ci

最后复制源代码(变化频繁)

COPY . .

2.3 使用 .dockerignore

排除版本控制文件、日志、临时文件等,避免它们进入构建上下文,也减少镜像层中的无用内容。

text

node_modules

.git

*.log

.DS_Store

三、多阶段构建(Multi-stage Builds)

多阶段构建允许在一个 Dockerfile 中使用多个 FROM,只将最终需要的文件复制到最终镜像,从而彻底排除编译工具和中间产物。

示例:编译 Go 程序

dockerfile

阶段1:构建

FROM golang:1.20 AS builder

WORKDIR /app

COPY go.mod go.sum ./

RUN go mod download

COPY . .

RUN CGO_ENABLED=0 GOOS=linux go build -o myapp .

阶段2:最终镜像

FROM alpine:latest

RUN apk add --no-cache ca-certificates

COPY --from=builder /app/myapp /usr/local/bin/myapp

CMD "myapp"

最终镜像仅包含 Alpine 基础层 + ca-certificates + 二进制文件,大小可能从几百 MB 降到十几 MB。

四、清理临时文件

在同一个 RUN 中,安装完软件后立即清理缓存。

Debian/Ubuntu:

dockerfile

RUN apt-get update && apt-get install -y

package1

package2

&& rm -rf /var/lib/apt/lists/*

Alpine:

dockerfile

RUN apk add --no-cache package1 package2

--no-cache 自动不保留索引缓存

yum (CentOS):

dockerfile

RUN yum install -y package1 && yum clean all

五、减少不必要的文件

避免安装文档、手册:某些包管理器有 --no-docs 选项。

删除临时下载的源码包:例如 RUN wget ... && tar xf ... && make && make install && rm -rf /tmp/*。

仅复制需要的文件:使用 COPY --chmod 或指定文件列表,而非整个目录。

六、使用 --squash 实验性功能(可选)

Docker 支持 --squash 参数将多层合并为一层,但会失去层的缓存优势,一般用于最终发布前。需要开启实验性特性。

bash 复制代码
docker build --squash -t myimage .

七、使用工具分析镜像大小

docker history:查看每层大小。

dive:交互式工具,显示各层内容,找出大文件。

bash 复制代码
dive myimage

docker scout:官方安全与大小分析工具。

八、安全最佳实践

以非 root 用户运行:

dockerfile

RUN addgroup -g 1000 app && adduser -u 1000 -G app -D app

USER app

使用固定标签:不用 latest,指定具体版本(如 alpine:3.18)。

扫描漏洞:docker scan 或 docker scout 检测已知漏洞。

不要存储 secrets:使用 Docker Secret 或外部密钥管理。

九、完整优化示例:Python 应用

dockerfile

多阶段构建

FROM python:3.11-slim AS builder

WORKDIR /app

COPY requirements.txt .

RUN pip install --user --no-cache-dir -r requirements.txt

FROM python:3.11-slim

WORKDIR /app

COPY --from=builder /root/.local /root/.local

COPY . .

ENV PATH=/root/.local/bin:$PATH

USER 1000

EXPOSE 8000

CMD "python", "app.py"

注意:pip install --user 将包安装到用户目录,避免污染系统 Python。

十、常见问题与解决

十一、小结

镜像瘦身是 Docker 生产化的重要环节。核心原则:

选择合适的基础镜像(优先 Alpine / slim)。

合并层并清理缓存。

多阶段构建剔除编译工具。

以非 root 运行提高安全性。

使用分析工具持续优化。

一个几十 MB 的镜像比几百 MB 的镜像在分发、部署、安全扫描方面都有巨大优势。现在就开始优化你的 Dockerfile 吧!

相关推荐
java_logo3 小时前
5 分钟共享打印机:用 Docker 一键部署 CUPS
运维·docker·容器·cups·网络打印机·共享打印机·docker部署cups
fen_fen3 小时前
Docker部署PostgreSQL10 开启SSL和证书安装文档
docker·容器·ssl
EnCi Zheng4 小时前
N3A-一个端口只能给一个程序使用吗?[特殊字符]
网络·nginx·docker
彼岸笙箫5 小时前
Centos7离线安装docker
运维·docker·容器
nuo5342026 小时前
基础 1 —— Docker 的简介
运维·docker·容器
承渊政道6 小时前
OneNav书签导航实操:极空间Docker部署、分类整理与公网访问
运维·docker·内网穿透·cpolar·nas·onenav·轻量级部署
oioihoii7 小时前
CentOS运行Teemii实操:Docker Compose部署、漫画导入与公网阅读
linux·docker·centos
AAA@峥1 天前
容器数据不丢失:Docker 分层存储 + Volume 共享、备份迁移完整指南
运维·docker·容器
十年磨一剑~1 天前
docker 为何每次 docker tag才能 docker push
docker·容器·eureka
梦梦代码精1 天前
LikeShop 前后端架构升级对比总白皮书——从传统商城架构到高性能多端统一体系
docker·架构·开源