?譯者 | 陳峻

審校 | 孫淑娟

眾所周知，作為一個文本文檔，Dockerfile包含了用戶創(chuàng)建鏡像的所有命令和說明。Docker可以通過讀取Dockerfile中指令的方式，去自動構(gòu)建鏡像。因此，大家往往認為編寫Dockerfile理應非常簡單，只需從互聯(lián)網(wǎng)上選擇一個示例，并通過自定義來滿足實際需求即可。然而，事實并非如此。

由于生產(chǎn)環(huán)境有著嚴格的要求，特別是在安全方面，因此雖然有許多示例能夠適合開發(fā)環(huán)境，但不一定在生產(chǎn)環(huán)境中也合適。另外，由于Docker也提供了一套編寫Dockerfile的指導策略，這就導致了Dockerfile像編寫代碼那樣，您可能知道了相關(guān)語法，卻不一定能夠用特定的編程語言寫出干凈、簡潔的代碼。下面，我將和您探討7項在編寫Dockerfile時，比較實用的優(yōu)秀策略與理論實踐。

一、簡介

首先，讓我們來看一個典型的Dockerfile示例：

Dockerfile
FROM eclipse-temurin:17
RUN mkdir /opt/app
ARG JAR_FILE
ADD target/${JAR_FILE} /opt/app/app.jar
CMD ["java", "-jar", "/opt/app/app.jar"]

根據(jù)其內(nèi)容，該Dockerfile會執(zhí)行以下操作：

• lFROM：將Java Docker鏡像--eclipse-temurin:17作為基本鏡像;
• lRUN：為jar文件創(chuàng)建一個目錄;
• lARG:通過提供一個參數(shù)--JAR_FILE，避免將jar文件名被硬編碼到Dockerfile中;
• lADD:將jar文件添加到Docker鏡像中;
• lCMD:包含了在運行容器時必須執(zhí)行的命令。

可見，上述每個段落生成的Dockerfile，都可以在Git存儲庫的Dockerfiles目錄下被找到。而且在每個段落的末尾處，相應的Dockerfile名稱也會在適用的地方被提及。下面，我們將通過修改該Dockerfile來實現(xiàn)七種優(yōu)秀實踐。

二、先決條件

在繼續(xù)閱讀下文之前，您需要具備的先決條件是：

• 基本的Linux知識
• 基本的Java和Spring Boot知識
• 基本的Docker知識

三、應用示例

為了展示各項優(yōu)秀實踐，我事先創(chuàng)建了一個包含Spring Web依賴項的基本Spring Boot應用。該應用可以通過在存儲庫的根目錄中調(diào)用以下命令來運行：

Shell
$ MVN spring-boot:run

而為了構(gòu)建Docker鏡像，我將使用Spotify的dockerfile-maven-plugin的一個分支。為此，我會將如下代碼段添加到pom文件中。

XML
<plugin>
<groupId>com.xenoamess.docker</groupId>
<artifactId>dockerfile-maven-plugin</artifactId>
<version>1.4.25</version>
<configuration>
<repository>mydeveloperplanet/dockerbestpractices</repository>
<tag>${project.version}</tag>
<buildArgs>
<JAR_FILE>${project.build.finalName}.jar</JAR_FILE>
</buildArgs>
</configuration>
</plugin>

使用該插件的好處在于，您可以輕松地重用配置。同時，為了實現(xiàn)通過Maven命令來創(chuàng)建Docker鏡像，您可以通過調(diào)用如下命令來構(gòu)建jar文件：

Shell
$ mvn clean verify

接著，請通過調(diào)用如下命令來構(gòu)建Docker鏡像：

Shell
$ mvn dockerfile:build

如下命令可讓您運行Docker鏡像：

Shell
$ docker run --name dockerbestpractices mydeveloperplanet/dockerbestpractices:0.0.1-SNAPSHOT

然后，請通過如下代碼來找到運行中的容器的IP地址:

Shell
$ docker inspect dockerbestpractices | grep IPAddress
"SecondaryIPAddresses": null,
"IPAddress": "172.17.0.3",
                   "IPAddress": "172.17.0.3"

本例的IP地址為172.17.0.3。同時，該應用還包含一個只用來響應hello消息的HelloController。而且，Hello端點可以通過如下方式被調(diào)用:

Shell
$ curl http://172.17.0.3:8080/hello
Hello Docker!

至此，一切就緒了。

四、各項優(yōu)秀實踐

1.該使用哪個鏡像

在前文中，我們提到了本例Dockerfile中使用到的鏡像是eclipse-temurin:17。下面，我們來看看該鏡像是如何被構(gòu)建的：

• 請訪問DockerHub的鏈接;
• 搜索‘eclipse-temurin’;
• 導航到“標簽”;
• 搜索17;
• 按A-Z排序;
• 單擊標簽17。

如果您仔細觀察頁面每個層的細節(jié)，并將其與標簽17-JRE進行比較，就會注意到標簽17包含了一個完整的JDK，而標簽17-JRE只是包含了JRE。當然，后者對于運行Java應用來說已經(jīng)足夠了，畢竟在生產(chǎn)環(huán)境中運行各種應用是不需要整個JDK的。而且，由于開發(fā)工具可能會被濫用，因此JDK在使用中也帶有一定的安全問題。此外，標簽17的鏡像在壓縮后的尺寸為235MB，而17-jre的壓縮后尺寸只有89MB。

為了進一步減小鏡像的尺寸，我們可以使用經(jīng)“瘦身”的鏡像：17-jre-alpine。該鏡像的壓縮后尺寸為59MB，足足比17-jre減少了30MB，因此它更容易被分發(fā)。

值得注意到是，以上使用的標簽均為通用標簽，且指向的是最新版本。這對于開發(fā)環(huán)境來說可能沒有問題，但是對于生產(chǎn)環(huán)境而言，您需要事先明確所使用的版本。本例中使用的標簽便是17.0.5_8-jre-alpine。如您想進一步加固安全，則可以將SHA256散列添加到鏡像的版本中。SHA256散列可以在包含了這些層的頁面上找到。當SHA256的哈希值與Dockerfile中定義的哈希值無法對應時，構(gòu)建Docker鏡像的過程將會失敗。

在本例中，Dockerfile的第一行為：

Dockerfile
FROM eclipse-temurin:17

有了上面的知識，我們可以將該行更改為：

Dockerfile
FROM eclipse-temurin: 17.0.5_8-jre-alpine@sha256:02c04793fa49ad5cd193c961403223755f9209a67894622e05438598b32f210e

如下代碼所示，在Docker鏡像完成構(gòu)建后，您會注意到，（曾經(jīng)未壓縮的）鏡像從以前的475MB縮小到現(xiàn)在的188MB。

Shell
$ docker images
REPOSITORY TAG              IMAGE ID       CREATED         SIZE
mydeveloperplanet/dockerbestpractices 0.0.1-SNAPSHOT   0b8d89616602   3 seconds ago   188MB

生成的Dockerfile在Git存儲庫中被命名為1-Dockerfile-specific-image。

2.不要以Root用戶運行

默認情況下，應用程序在容器中會以Root用戶身份運行。這顯然會暴露許多漏洞風險，并且也不是必要的。對此，您應該為應用定義一個系統(tǒng)級用戶。如下代碼所示，在啟動容器時的第一行日志中，您可以看到該應用是由Root啟動的。

Shell
2022-11-26 09:03:41.210 INFO 1 --- [           main] m.MyDockerBestPracticesPlanetApplication : Starting MyDockerBestPracticesPlanetApplication v0.0.1-SNAPSHOT using Java 17.0.5 on 3b06feee6c65 with PID 1 (/opt/app/app.jar started by root in /)

我們可以通過向Dockerfile中添加組javauser和用戶javauser，來創(chuàng)建系統(tǒng)級用戶。然后，通過向Dockerfile中添加如下指令來實現(xiàn)。其中，javauser是一個系統(tǒng)級用戶，并不具備登錄權(quán)限。注意，為了只創(chuàng)建一個層面，組和用戶的創(chuàng)建步驟都被&符號組合到了一行之中。

Dockerfile
RUN addgroup——system javauser && adduser -S -S /usr/sbin/nologin -G javauser javauser

下表列出了可用于adduser的完整參數(shù)集：

• -h，即DIR主目錄
• -g，即GECOS字段
• -s，即登錄SHELL
• -G，即組
• -S，即創(chuàng)建系統(tǒng)級用戶
• -D，即不用設置密碼
• -H，即不要創(chuàng)建主目錄
• -u，即UID，用戶id
• -k，即Skeleton目錄(/etc/SKEL)

同時，您也可以通過添加如下一行，將目錄/opt/apt的所有者更改為新的javauser，否則javauser將無法訪問該目錄：

Dockerfile
RUN chown -R javauser:javauser /opt/app

最后，您需要確保通過USER命令在容器中實際使用了javauser。其對應的完整Dockerfile為：

Dockerfile
FROM eclipse-temurin:17.0.5_8-jre-alpine@sha256:02c04793fa49ad5cd193c961403223755f9209a67894622e05438598b32f210e
RUN mkdir /opt/app
RUN addgroup --system javauser && adduser -S -s /usr/sbin/nologin -G javauser javauser
ARG JAR_FILE
ADD target/${JAR_FILE} /opt/app/app.jar
RUN chown -R javauser:javauser /opt/app
USER javauser
CMD ["java", "-jar", "/opt/app/app.jar"]
為了測試這個新的鏡像，您首先需要通過如下命令，停止并刪除正在運行的容器。
Shell
$ docker stop dockerbestpractices
$ docker rm dockerbestpractices

完成重新構(gòu)建并再次運行容器后，如下代碼所示，您可以在第一行日志中看到，該應用程序是由javauser啟動的。

Shell
2022-11-26 09:06:45.227 INFO 1 --- [           main] m.MyDockerBestPracticesPlanetApplication : Starting MyDockerBestPracticesPlanetApplication v0.0.1-SNAPSHOT using Java 17.0.5 on ab1bcd38dff7 with PID 1 (/opt/app/app.jar started by javauser in /)

同樣，生成的Dockerfile在Git存儲庫中被命名為2-Dockerfile-do-not-run-as-root。

3.使用WORKDIR

在您使用的Dockerfile中，目錄/opt/app是被一次性創(chuàng)建的，畢竟這是您的工作目錄。就算它并不存在，Docker也會幫您默認創(chuàng)建。因此，您不必每一次都重復這條路徑。例如，您會看到Dockerfile的第二行包含了如下RUN指令：

Dockerfile
RUN mkdir /opt/app

我們可以通過使用WORKDIR指令來稍作改變：

Dockerfile
WORKDIR /opt/app

由于WORKDIR指令已經(jīng)確保了您在該目錄下，因此您完全可以刪除每一個/opt/app的引用。因此，新的Dockerfile如下代碼所示：

Dockerfile
FROM eclipse-temurin:17.0.5_8-jre-alpine@sha256:02c04793fa49ad5cd193c961403223755f9209a67894622e05438598b32f210e
WORKDIR /opt/app
RUN addgroup --system javauser && adduser -S -s /usr/sbin/nologin -G javauser javauser
ARG JAR_FILE
ADD target/${JAR_FILE} app.jar
RUN chown -R javauser:javauser .
USER javauser
CMD ["java", "-jar", "app.jar"]

完成構(gòu)建并重新運行容器后，您可以在如下日志中看到，jar文件仍然在/opt/app目錄中被執(zhí)行：

Shell
2022-11-26 16:07:18.503 INFO 1 --- [           main] m.MyDockerBestPracticesPlanetApplication : Starting MyDockerBestPracticesPlanetApplication v0.0.1-SNAPSHOT using Java 17.0.5 on fe5cf9223143 with PID 1 (/opt/app/app.jar started by javauser in /opt/app)

同樣，生成的Dockerfile在Git存儲庫中被命名為3-Dockerfile-use-workdir。

4.使用ENTRYPOINT

CMD指令和ENTRYPOINT指令之間是存在區(qū)別的。簡而言之，兩者的使用場景分別是：

ENTRYPOINT：當您總需要執(zhí)行各種命令，才能構(gòu)建出可執(zhí)行的Docker鏡像時，只要您愿意，完全可以將參數(shù)附加到命令中。

CMD：當您想提供一個默認的參數(shù)集，且允許在容器運行時被命令行覆蓋時。

那么，在運行Java應用的情況下，請最好使用ENTRYPOINT。例如，原本Dockerfile的最后一行為：

Dockerfile
CMD ["java", "-jar", "app.jar"]

現(xiàn)在可以變?yōu)椋?/p>

Dockerfile
ENTRYPOINT ["java", "-jar", "app.jar"]

完成構(gòu)建并重新運行容器，您并不會注意到有任何特定的差異，容器仍然會照常運行。生成的Dockerfile在Git存儲庫中被命名為4-Dockerfile-use-entrypoint。

5.使用COPY代替ADD

COPY和ADD指令也似乎比較類似。然而，COPY要比ADD更好，畢竟COPY只是復制文件到鏡像，而ADD還有一些額外的特性，比如添加來自遠程資源的文件。

Dockerfile中的ADD命令行為：

Dockerfile
ADD target/${JAR_FILE} app.jar

如果改用COPY命令，則為：

Dockerfile
COPY target/${JAR_FILE} app.jar

重新構(gòu)建并運行容器，您同樣看不出顯著變化，除了在構(gòu)建日志中顯示的是COPY命令，而不是ADD命令。生成的Dockerfile在Git存儲庫中可用，名稱為5-Dockerfile-use-copy-instead-of-add。

6.使用.dockerignore

為了防止Docker鏡像被意外地添加文件，您可以使用.dockerignore文件來指定哪些文件可以被發(fā)送到Docker守護進程中，或者是在鏡像中被使用。一種值得推薦的方法是：忽略所有的文件，僅顯式地添加那些您允許的文件。通過在.dockerignore文件中添加星號，我們可以排除所有的子目錄和文件。當然，為了將jar文件放入構(gòu)建的上下文，您也可以使用感嘆號來避免忽略jar文件。如下dockerignore文件所示，我們可以將它添加到運行Docker命令的目錄中。例如，在本例中，我們將其添加到Git存儲庫的根目錄上。

Plain Text
**/**
!target/*.jar

完成構(gòu)建并重新運行容器后，其變化可能并不顯著。但是當您使用npm開發(fā)時，由于node_modules目錄不再被復制到Docker構(gòu)建的上下文中，因此您能夠明顯地感受到創(chuàng)建Docker鏡像的過程被縮短了。注意，您可以直接在Git存儲庫的Dockerfiles目錄下找到dockerignore文件。

7.以non-root方式運行Docker守護進程

默認情況下，Docker守護進程是以Root身份運行的。通過前文的討論，您一定覺察到了潛在的安全問題。慶幸的是，從Docker v20.10開始，我們可以non-root用戶運行Docker守護進程了。

此外，您也可以利用無守護進程（daemonless）的容器引擎--Podman（https://podman.io/）。以默認non-root方式運行。雖然有人認為Podman是Docker的臨時替代品，但是它們在容器中掛載卷的方面有所區(qū)別。

五、小結(jié)

在上文中，我們介紹了7種編寫Dockerfile和運行容器的最佳實踐。雖然編寫Dockerfile并不復雜，但是若想正確、規(guī)范地編寫，還是需要您花些時間去研究和理解其使用說明的。

原文鏈接：https://dzone.com/articles/docker-best-practices

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風險實施管控，專注傳播網(wǎng)絡與信息安全知識與經(jīng)驗。?