Dockerfile最佳实践2025：构建更小更安全的镜像

你好，容器技术爱好者！在云原生时代，Docker已经成为我们日常开发和部署中不可或缺的工具。然而，如何编写一个既能构建出体积小巧，又能保证固若金汤的镜像的Dockerfile，却是一门值得深入探讨的学问。

这篇文章将带你了解2025年最新的Dockerfile最佳实践，通过口语化的解析、丰富的代码案例，让你轻松掌握构建更小、更安全镜像的秘诀，告别臃肿和不安全的容器镜像。

核心理念：小即是美，安全至上

在深入具体实践之前，我们先来明确两个核心理念：

• 小即是美：更小的镜像意味着更快的拉取、推送和部署速度，能够有效节约存储和网络资源。同时，较小的镜像通常包含更少的组件，从而减少了潜在的攻击面。
• 安全至上：在生产环境中，容器的安全性至关重要。我们需要确保镜像中不包含不必要的工具和敏感信息，并以最小权限原则运行容器。

一、精简镜像体积：多阶段构建是你的“瑞士军刀”

多阶段构建是减小镜像体积最有效的方法之一。 它允许你在一个Dockerfile中使用多个FROM指令，每个FROM指令都可以开始一个新的构建阶段，并可以拥有不同的基础镜像。你可以将编译、测试和打包等构建过程放在一个或多个临时阶段，最终只将生成的可执行文件或产物复制到最终的生产镜像中。

优势：

• 分离构建环境和运行环境：避免将编译器、构建工具和开发依赖等带入最终的生产镜像。
• 显著减小镜像体积：最终镜像只包含运行应用所必需的文件。
• 提升安全性：减少了最终镜像中的组件，从而降低了攻击面。

---

案例：构建一个Node.js应用

假设我们有一个简单的Node.js应用，目录结构如下：

.
├── Dockerfile
├── index.js
├── package.json
└── package-lock.json

一个糟糕的Dockerfile示例：

FROM node:18

WORKDIR /app

COPY package*.json ./

RUN npm install

COPY . .

EXPOSE 3000

CMD ["node", "index.js"]

这个Dockerfile会将所有的源代码、node_modules以及Node.js的完整开发环境都打包到最终的镜像中，导致镜像体积非常庞大。

采用多阶段构建的优化版本：

# ---- 构建阶段 ----
FROM node:18-alpine AS builder

WORKDIR /app

# 仅复制 package.json 和 package-lock.json 来利用Docker的缓存机制
COPY package*.json ./
RUN npm install

# 复制所有源代码
COPY . .

# 如果有构建步骤，例如TypeScript编译或打包
# RUN npm run build

# ---- 生产阶段 ----
FROM node:18-alpine

WORKDIR /app

# 从构建阶段复制必要的依赖
COPY --from=builder /app/node_modules ./node_modules
COPY --from=builder /app/package.json ./package.json
COPY --from=builder /app/index.js ./index.js

EXPOSE 3000

# 以非root用户运行
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser

CMD ["node", "index.js"]

解析：

1. 我们定义了两个阶段：builder 和最终的生产阶段。
2. 在builder阶段，我们使用了包含完整Node.js开发环境的node:18-alpine镜像来安装依赖和构建应用。
3. 在生产阶段，我们同样使用了轻量的node:18-alpine作为基础镜像。
4. 关键的一步是使用COPY --from=builder，我们只从builder阶段复制了运行应用所必需的node_modules、package.json和index.js。
5. 这样，最终的生产镜像将不包含任何开发依赖和构建工具，体积大大减小。

二、选择合适的基础镜像

选择一个合适的基础镜像对镜像的大小和安全性有着直接的影响。

• 使用官方镜像：尽量从Docker Hub上选择官方维护的镜像，这些镜像通常有更好的安全性和及时的更新。
• 选择slim或alpine版本：许多官方镜像都提供了slim或alpine等轻量级版本。 Alpine Linux以其极小的体积和安全性而闻名。
• 探索Distroless镜像：对于追求极致精简和安全的用户，Google的Distroless镜像是一个绝佳的选择。

---

什么是Distroless镜像？

Distroless镜像仅包含应用程序及其运行时依赖，不包含包管理器、shell或任何其他在标准Linux发行版中可以找到的程序。 这使得它们的体积非常小，并且攻击面也大大减少。

案例：将Go应用构建为Distroless镜像

# ---- 构建阶段 ----
FROM golang:1.20-alpine AS builder

WORKDIR /app

COPY go.mod ./
COPY go.sum ./
RUN go mod download

COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -o /app/main .

# ---- 生产阶段 ----
FROM gcr.io/distroless/static-debian11

WORKDIR /

COPY --from=builder /app/main /

EXPOSE 8080

CMD ["/main"]

解析：

1. 在builder阶段，我们使用golang:1.20-alpine镜像来编译Go应用。CGO_ENABLED=0确保了我们构建的是一个静态链接的二进制文件。
2. 在生产阶段，我们使用了gcr.io/distroless/static-debian11作为基础镜像。这是一个非常小的基础镜像，专门用于运行静态链接的二进制文件。
3. 最终的镜像将只包含我们编译好的Go应用，体积非常小且极其安全。

三、安全第一：加固你的镜像

除了减小体积，提升镜像的安全性同样至关重要。

1. 以非root用户运行

默认情况下，容器内的进程是以root用户身份运行的，这带来了巨大的安全风险。我们应该始终创建一个非root用户，并使用USER指令来切换到该用户。

代码示例：

FROM alpine:latest

# 创建一个非root用户和用户组
RUN addgroup -S myapp && adduser -S myapp -G myapp

# ... 其他指令 ...

# 切换到非root用户
USER myapp

CMD ["/path/to/your/app"]

2. 善用.dockerignore

与.gitignore类似，.dockerignore文件可以让你指定在构建镜像时需要忽略的文件和目录。这可以防止将不必要的文件（如.git目录、本地开发配置文件、日志文件等）复制到镜像中，从而减小镜像体积并避免敏感信息泄露。

一个典型的.dockerignore文件：

.git
.gitignore
node_modules
npm-debug.log
Dockerfile*
README.md

3. 安全地处理敏感信息

永远不要将密码、API密钥等敏感信息硬编码到Dockerfile中。 使用ARG或ENV指令来传递敏感信息也是不安全的，因为这些信息会保留在镜像的层中。

推荐的做法是使用Docker的构建时密钥（Build Secrets）。 Build Secrets允许你在构建过程中安全地挂载敏感文件，而这些文件不会被包含在最终的镜像中。

案例：使用Build Secrets安装私有npm包

假设你需要从一个私有的npm仓库安装依赖，这需要一个认证token。

1. 在Dockerfile中声明secret：

# syntax=docker/dockerfile:1
FROM node:18-alpine

WORKDIR /app

COPY package*.json ./

# 挂载名为npmrc的secret到/root/.npmrc
RUN --mount=type=secret,id=npmrc,target=/root/.npmrc npm install

COPY . .

CMD ["node", "index.js"]

2. 在构建时传递secret：

创建一个名为.npmrc的文件，内容如下：

//registry.npmjs.org/:_authToken=${NPM_TOKEN}

然后执行构建命令：

docker build --secret id=npmrc,src=.npmrc .

解析：

• --mount=type=secret指令告诉Docker在执行RUN命令时挂载一个secret。
• id=npmrc是我们为这个secret指定的ID。
• target=/root/.npmrc指定了secret文件在容器内的挂载路径。
• --secret标志在docker build命令中用于指定要传递的secret文件。

这样，npm install命令就可以使用这个临时的.npmrc文件来认证并下载私有包，而这个文件和其中的token都不会被保存在最终的镜像中。

总结

构建更小、更安全的Docker镜像是每一个开发者都应该掌握的技能。通过遵循本文介绍的最佳实践，你将能够显著优化你的Dockerfile，提升应用的部署效率和安全性。

要点回顾：

• 使用多阶段构建来分离构建环境和运行环境，减小镜像体积。
• 选择轻量级的基础镜像，如alpine或distroless。
• 以非root用户运行容器，遵循最小权限原则。
• **使用.dockerignore**排除不必要的文件。
• 通过Build Secrets安全地处理敏感信息。

希望这篇文章能帮助你成为一名更出色的容器化应用开发者！