如何在Docker中使用多級(jí)版本來(lái)創(chuàng)建較小，更安全的圖像？

Docker中的多級(jí)版本是一項(xiàng)功能，它允許您使用Dockerfile中的FROM中的多個(gè)。每個(gè)FROM都可以啟動(dòng)構(gòu)建過(guò)程的新階段，您可以將工件從一個(gè)階段復(fù)制到另一個(gè)階段。該方法對(duì)于通過(guò)將構(gòu)建環(huán)境與運(yùn)行時(shí)環(huán)境區(qū)分開(kāi)來(lái)創(chuàng)建較小，更安全的Docker圖像特別有用。

這是您可以使用多階段構(gòu)建來(lái)實(shí)現(xiàn)這一目標(biāo)的方法：

1. 定義構(gòu)建階段：首先定義一個(gè)構(gòu)建階段，在該階段中，您可以編譯應(yīng)用程序或準(zhǔn)備工件。例如，您可以使用golang圖像來(lái)編譯GO應(yīng)用程序。

    <code class="Dockerfile">FROM golang:1.16 as builder WORKDIR /app COPY . . RUN go build -o myapp</code>

2. 定義運(yùn)行時(shí)階段：在構(gòu)建階段之后，用最小的基本圖像定義運(yùn)行時(shí)階段。僅將構(gòu)建階段的必要工件復(fù)制到此運(yùn)行時(shí)階段。

    <code class="Dockerfile">FROM alpine:3.14 COPY --from=builder /app/myapp /myapp CMD ["/myapp"]</code>

通過(guò)使用多階段構(gòu)建，您最終獲得了最終圖像，該圖像僅包含運(yùn)行您的應(yīng)用程序所需的內(nèi)容，該應(yīng)用程序要小得多，并且與用于構(gòu)建的圖像相比，它具有更少的潛在漏洞。

在多階段碼頭版中組織代碼的最佳實(shí)踐是什么？

在多階段的Docker構(gòu)建中有效地組織代碼可以大大提高您的Dockerfile的效率和清晰度。以下是一些最佳實(shí)踐：

1. 單獨(dú)的問(wèn)題：將不同的階段用于不同的目的（例如，建筑物，測(cè)試和部署）。這種關(guān)注的分離使您的Dockerfile更容易理解和維護(hù)。

    <code class="Dockerfile"># Build stage FROM node:14 as builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build # Test stage FROM node:14 as tester WORKDIR /app COPY --from=builder /app . RUN npm run test # Runtime stage FROM node:14-alpine WORKDIR /app COPY --from=builder /app/build /app/build CMD ["node", "app/build/index.js"]</code>

2. 最小化層的數(shù)量：在可能的情況下組合運(yùn)行命令以減少圖像中的層數(shù)。這種練習(xí)不僅加快了構(gòu)建過(guò)程，而且還使結(jié)果圖像較小。

    <code class="Dockerfile">RUN apt-get update && \ apt-get install -y some-package && \ rm -rf /var/lib/apt/lists/*</code>

3. 使用.dockerignore ：創(chuàng)建一個(gè).dockerignore文件，以排除不必要的文件被復(fù)制到Docker構(gòu)建上下文中。這加快了構(gòu)建過(guò)程并降低圖像大小。
4. 優(yōu)化復(fù)制操作：僅復(fù)制每個(gè)階段所需的文件。例如，在node.js應(yīng)用程序的構(gòu)建階段中，您可以首先復(fù)制package.json ，運(yùn)行npm install ，然后復(fù)制應(yīng)用程序的其余部分。
5. 使用名稱階段：在您的階段給出有意義的名稱，以使Dockerfile易于閱讀和維護(hù)。

如何優(yōu)化多階段Docker構(gòu)建中的緩存以改善構(gòu)建時(shí)間？

在多階段碼頭版中優(yōu)化緩存可以大大減少構(gòu)建時(shí)間。以下是實(shí)現(xiàn)這一目標(biāo)的幾種策略：

1. 操作順序：將經(jīng)常更改的命令放在Dockerfile的盡頭。 Docker將從Dockerfile的開(kāi)頭緩存層，從而加快后續(xù)構(gòu)建。

    <code class="Dockerfile">FROM node:14 as builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build</code>

   在此示例中， npm install更改可能性較小，因此已放置在COPY . .命令。

2. 使用多階段構(gòu)建：每個(gè)階段都可以獨(dú)立緩存。這意味著您可以在每個(gè)階段利用構(gòu)建緩存，從而節(jié)省后續(xù)版本的時(shí)間。

3. Leverage BuildKit ：Docker BuildKit提供了改進(jìn)的構(gòu)建緩存機(jī)制。通過(guò)設(shè)置環(huán)境變量DOCKER_BUILDKIT=1啟用buildKit，然后使用新的RUN --mount命令來(lái)安裝緩存目錄。

    <code class="Dockerfile"># syntax=docker/dockerfile:experimental FROM golang:1.16 as builder RUN --mount=type=cache,target=/root/.cache/go-build \ go build -o myapp</code>

4. 最小化Docker構(gòu)建上下文：使用.dockerignore文件將不必要的文件從構(gòu)建上下文中排除。較小的上下文意味著更少的數(shù)據(jù)傳輸和更快的構(gòu)建。
5. 使用特定的基本圖像：使用輕質(zhì)和穩(wěn)定的基本圖像減少在構(gòu)建過(guò)程中拉動(dòng)基層所需的時(shí)間。

與單級(jí)版本相比，多階段碼頭版提供哪些安全益處？

與單級(jí)版本相比，多階段的Docker Build提供了一些安全優(yōu)勢(shì)：

1. 較小的圖像大小：通過(guò)僅將必要的工件從構(gòu)建階段復(fù)制到運(yùn)行時(shí)階段，多階段的構(gòu)建會(huì)導(dǎo)致更小的最終圖像。較小的圖像具有降低的攻擊表面，因?yàn)樗鼈儼^少的組件可能脆弱。
2. 減少漏洞：由于最終圖像不包括構(gòu)建工具或依賴性僅在構(gòu)建過(guò)程中所需的依賴性，因此攻擊者在這些工具中利用漏洞的機(jī)會(huì)更少。
3. 構(gòu)建和運(yùn)行時(shí)環(huán)境的隔離：多階段構(gòu)建使您可以使用不同的基本圖像來(lái)構(gòu)建和運(yùn)行應(yīng)用程序。構(gòu)建環(huán)境可以更具允許性，并包括編譯或包裝所需的工具，而運(yùn)行時(shí)環(huán)境可以更限制和優(yōu)化安全性。
4. 更容易的合規(guī)性：較小，更集中的圖像更容易掃描漏洞并確保遵守安全策略，從而更容易維護(hù)安全的環(huán)境。
5. 限制秘密暴露：由于敏感數(shù)據(jù)（例如構(gòu)建過(guò)程中使用的API密鑰）不需要包含在最終圖像中，因此多階段構(gòu)建可以幫助防止在運(yùn)行時(shí)環(huán)境中揭示秘密。

通過(guò)利用多階段構(gòu)建，您可以顯著增強(qiáng)Docker圖像的安全姿勢(shì)，同時(shí)還可以優(yōu)化其大小和性能。

以上是如何在Docker中使用多級(jí)版本來(lái)創(chuàng)建較小，更安全的圖像？的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！