如何在Docker中使用多級版本來創建較小，更安全的圖像？-Docker-PHP中文網

首頁

運維

Docker

如何在Docker中使用多級版本來創建較小，更安全的圖像？

Johnathan Smith

Mar 14, 2025 pm 02:15 PM

如何在Docker中使用多級版本來創建較小，更安全的圖像？

Docker中的多級版本是一項功能，它允許您使用Dockerfile中的FROM中的多個。每個FROM都可以啟動構建過程的新階段，您可以將工件從一個階段複製到另一個階段。該方法對於通過將構建環境與運行時環境區分開來創建較小，更安全的Docker圖像特別有用。

這是您可以使用多階段構建來實現這一目標的方法：

定義構建階段：首先定義一個構建階段，在該階段中，您可以編譯應用程序或準備工件。例如，您可以使用golang圖像來編譯GO應用程序。
```
 <code class="Dockerfile">FROM golang:1.16 as builder WORKDIR /app COPY . . RUN go build -o myapp</code>
```
定義運行時階段：在構建階段之後，用最小的基本圖像定義運行時階段。僅將構建階段的必要工件複製到此運行時階段。
```
 <code class="Dockerfile">FROM alpine:3.14 COPY --from=builder /app/myapp /myapp CMD ["/myapp"]</code>
```

通過使用多階段構建，您最終獲得了最終圖像，該圖像僅包含運行您的應用程序所需的內容，該應用程序要小得多，並且與用於構建的圖像相比，它具有更少的潛在漏洞。

在多階段碼頭版中組織代碼的最佳實踐是什麼？

在多階段的Docker構建中有效地組織代碼可以大大提高您的Dockerfile的效率和清晰度。以下是一些最佳實踐：

單獨的問題：將不同的階段用於不同的目的（例如，建築物，測試和部署）。這種關注的分離使您的Dockerfile更容易理解和維護。

 <code class="Dockerfile"># Build stage FROM node:14 as builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build # Test stage FROM node:14 as tester WORKDIR /app COPY --from=builder /app . RUN npm run test # Runtime stage FROM node:14-alpine WORKDIR /app COPY --from=builder /app/build /app/build CMD ["node", "app/build/index.js"]</code>

最小化層的數量：在可能的情況下組合運行命令以減少圖像中的層數。這種練習不僅加快了構建過程，而且還使結果圖像較小。
```
 <code class="Dockerfile">RUN apt-get update && \ apt-get install -y some-package && \ rm -rf /var/lib/apt/lists/*</code>
```
使用.dockerignore ：創建一個.dockerignore文件，以排除不必要的文件被複製到Docker構建上下文中。這加快了構建過程並降低圖像大小。
優化複製操作：僅複製每個階段所需的文件。例如，在node.js應用程序的構建階段中，您可以首先複製package.json ，運行npm install ，然後復制應用程序的其餘部分。
使用名稱階段：在您的階段給出有意義的名稱，以使Dockerfile易於閱讀和維護。

如何優化多階段Docker構建中的緩存以改善構建時間？

在多階段碼頭版中優化緩存可以大大減少構建時間。以下是實現這一目標的幾種策略：

操作順序：將經常更改的命令放在Dockerfile的盡頭。 Docker將從Dockerfile的開頭緩存層，從而加快後續構建。
```
 <code class="Dockerfile">FROM node:14 as builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build</code>
```
在此示例中， npm install更改可能性較小，因此已放置在COPY . .命令。
使用多階段構建：每個階段都可以獨立緩存。這意味著您可以在每個階段利用構建緩存，從而節省後續版本的時間。
Leverage BuildKit ：Docker BuildKit提供了改進的構建緩存機制。通過設置環境變量DOCKER_BUILDKIT=1啟用buildKit，然後使用新的RUN --mount命令來安裝緩存目錄。
```
 <code class="Dockerfile"># syntax=docker/dockerfile:experimental FROM golang:1.16 as builder RUN --mount=type=cache,target=/root/.cache/go-build \ go build -o myapp</code>
```
最小化Docker構建上下文：使用.dockerignore文件將不必要的文件從構建上下文中排除。較小的上下文意味著更少的數據傳輸和更快的構建。
使用特定的基本圖像：使用輕質和穩定的基本圖像減少在構建過程中拉動基層所需的時間。

與單級版本相比，多階段碼頭版提供哪些安全益處？

與單級版本相比，多階段的Docker Build提供了一些安全優勢：

較小的圖像大小：通過僅將必要的工件從構建階段複製到運行時階段，多階段的構建會導致更小的最終圖像。較小的圖像具有降低的攻擊表面，因為它們包含較少的組件可能脆弱。
減少漏洞：由於最終圖像不包括構建工具或依賴性僅在構建過程中所需的依賴性，因此攻擊者在這些工具中利用漏洞的機會更少。
構建和運行時環境的隔離：多階段構建使您可以使用不同的基本圖像來構建和運行應用程序。構建環境可以更具允許性，並包括編譯或包裝所需的工具，而運行時環境可以更限制和優化安全性。
更容易的合規性：較小，更集中的圖像更容易掃描漏洞並確保遵守安全策略，從而更容易維護安全的環境。
限制秘密暴露：由於敏感數據（例如構建過程中使用的API密鑰）不需要包含在最終圖像中，因此多階段構建可以幫助防止在運行時環境中揭示秘密。

通過利用多階段構建，您可以顯著增強Docker圖像的安全姿勢，同時還可以優化其大小和性能。

以上是如何在Docker中使用多級版本來創建較小，更安全的圖像？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Docker的力量：集裝箱化解釋了May 07, 2025 am 12:07 AM

Docker通過容器化技術簡化了應用程序的構建、部署和運行。 1)Docker是一個開源平台，使用容器技術打包應用及其依賴，確保跨環境一致性。 2)鏡像和容器是Docker的核心，鏡像為應用的可執行包，容器為鏡像的運行實例。 3)Docker的基本用法如運行Nginx服務器，高級用法如使用DockerCompose管理多容器應用。 4)常見錯誤包括鏡像下載失敗和容器啟動失敗，調試技巧包括查看日誌和檢查端口。 5)性能優化和最佳實踐包括鏡像優化、資源管理和安全性提升。

Kubernetes和Docker：部署和管理集裝箱應用程序May 06, 2025 am 12:13 AM

使用Kubernetes和Docker部署容器化應用的步驟包括：1.構建Docker鏡像，使用Dockerfile定義應用鏡像並推送到DockerHub。 2.在Kubernetes中創建Deployment和Service來管理和暴露應用。 3.使用HorizontalPodAutoscaler實現動態擴展。 4.通過kubectl命令調試常見問題。 5.優化性能，定義資源限制和請求，並使用Helm管理配置。

Docker：容器化技術簡介May 05, 2025 am 12:11 AM

Docker是一個開源平台，用於開發、打包和運行應用程序，通過容器化技術解決應用在不同環境中的一致性問題。 1.構建鏡像：通過Dockerfile定義應用環境和依賴，使用dockerbuild命令構建。 2.運行容器：使用dockerrun命令從鏡像啟動容器。 3.管理容器：通過dockerps、dockerstop、dockerrm等命令管理容器生命週期。

Docker和Linux：構建便攜式應用程序May 03, 2025 am 12:17 AM

如何利用Docker和Linux構建可移植的應用程序？首先，使用Dockerfile容器化應用，然後在Linux環境中管理和部署容器。 1）編寫Dockerfile，將應用及其依賴打包成鏡像。 2）使用dockerbuild和dockerrun命令在Linux上構建和運行容器。 3）通過DockerCompose管理多容器應用，定義服務依賴關係。 4）優化鏡像大小和資源配置，增強安全性，提升應用性能和可移植性。

Docker和Kubernetes：集裝箱編排的力量May 02, 2025 am 12:06 AM

Docker和Kubernetes通過容器編排提升應用部署和管理效率。 1.Docker通過Dockerfile構建鏡像並運行容器，確保應用一致性。 2.Kubernetes通過Pod、Deployment和Service管理容器，實現自動化部署和擴展。

Docker vs. Kubernetes：主要差異和協同作用May 01, 2025 am 12:09 AM

Docker和Kubernetes是容器化和編排的領軍者。 Docker專注於容器生命週期管理，適合小型項目；Kubernetes則擅長容器編排，適用於大規模生產環境。兩者結合可提升開發和部署效率。

Docker and Linux：完美的合作夥伴關係Apr 30, 2025 am 12:02 AM

Docker和Linux是完美的搭配，因為它們可以簡化應用的開發和部署流程。 1）Docker利用Linux的namespaces和cgroups實現容器隔離和資源管理。 2）Docker容器比虛擬機更高效，啟動速度快，鏡像分層結構便於構建和分發。 3）在Linux上，Docker的安裝和使用非常簡單，只需幾條命令即可。 4）通過DockerCompose，可以方便地管理和部署多容器應用。