Docker 提供了一些出色的構(gòu)建時(shí)功能和基本映像，我們可以用它們來(lái)實(shí)現(xiàn)輕量、安全和高效的應(yīng)用程序構(gòu)建。

本文會(huì)介紹為什么 Golang 可以很好地展示這些特性，因?yàn)?Golang 可以編譯為單個(gè)二進(jìn)制文件（或一組二進(jìn)制文件）。

這篇文章的示例所關(guān)注的焦點(diǎn)是極簡(jiǎn)主義。盡管這些示例很基礎(chǔ)，但它們非常重要，你可以在這些概念基礎(chǔ)上為大型 Golang 項(xiàng)目引入更多最佳實(shí)踐，以提高安全性和效率。

我們將使用這個(gè)簡(jiǎn)單的 main.go 來(lái)演示本文的概念：

package main import "fmt" func main() {  fmt.Println("Hello Cloudreach!") }

最少的層帶來(lái)效率最大化：最佳實(shí)踐

Docker 在 Dockerfile 文檔中一上來(lái)就強(qiáng)調(diào)：盡量減少層數(shù)是一個(gè)最佳實(shí)踐！這是一個(gè)重要的概念，必須從一開始就做好。

你很容易就能寫一個(gè)包含很多層的 Dockerfile——它的語(yǔ)法就有這個(gè)傾向——結(jié)果你不知不覺中就會(huì)寫出很多效率低下的內(nèi)容。

最佳實(shí)踐是將構(gòu)建的相關(guān)階段分組和鏈接在一起，例如下載依賴項(xiàng)、供應(yīng)商文件夾集成或使用 RUN 命令設(shè)置構(gòu)建環(huán)境等階段。

你還需要考慮分組的哪些部分是可以經(jīng)常更改的，然后將它們分組到 Dockerfile 中盡可能低的層，同時(shí)把靜態(tài)構(gòu)建依賴項(xiàng)、構(gòu)建環(huán)境配置或應(yīng)用程序資產(chǎn)放到 Dockerfile 中盡可能上層的位置上。

每一層，更具體地說(shuō)是 Dockerfile 中以指令開頭的每一行，都經(jīng)過(guò)哈希處理并建立在另一層之上，最后一個(gè)映像由“堆疊（stacked）”層構(gòu)成。

由于 Dockerfile 的每一層都是從下一層繼承的，因此構(gòu)建緩存提供了一種很好的機(jī)制，可以幫助你跳過(guò)已構(gòu)建或靜態(tài)的內(nèi)容，然后轉(zhuǎn)到你需要構(gòu)建和重新哈希的部分！

盡量縮短構(gòu)建時(shí)間是很重要的，因?yàn)楦咝У?CI/CD 系統(tǒng)每天都會(huì)運(yùn)行這些構(gòu)建很多次。當(dāng)團(tuán)隊(duì)規(guī)模逐漸擴(kuò)大后，這可能意味著大量的構(gòu)建工作，可能會(huì)需要很多 Jenkins worker，有時(shí)甚至需要很長(zhǎng)時(shí)間才能集成開發(fā)人員的代碼！

Docker 有一些構(gòu)建緩存功能，它們可以顯著節(jié)省構(gòu)建時(shí)間。等待構(gòu)建的時(shí)間越短，意味著集成和自動(dòng)化測(cè)試的速度也就越快，也能提升 CI/CD 流程的速度，讓你的流程足以和團(tuán)隊(duì)規(guī)模相匹配。

盡可能為應(yīng)用程序安排單獨(dú)的非 root 用戶也是很重要的。你只需要在 linux adduser 命令中使用 RUN 指令，然后在 Dockerfile 中使用 USER 指令就可以使用這個(gè)用戶來(lái)運(yùn)行二進(jìn)制文件了。

下面是使用這些最佳實(shí)踐構(gòu)造的一個(gè)最精簡(jiǎn)的 Dockerfile main.go 示例，它只有一個(gè)基本的 main 函數(shù)，沒有外部依賴項(xiàng)：

FROM golang:alpine RUN mkdir /app  ADD . /app/ WORKDIR /app  RUN go build -o main . RUN adduser -S -D -H -h /app appuser USER appuser CMD ["./main"]

構(gòu)建后，生成的映像大小為 378MB：

$  docker build -t hellocloudreachmain:1.0 . -f Dockerfile.single... (build output omitted)$  docker images | grep hellocloudreachmainhellocloudreachmain1.0d1c5090585bcLessthanasecondago378MB

盡可能使用基于 Alpine 的官方映像！它是基于 busybox 和 musl 構(gòu)建的，最輕量級(jí)的 Linux 發(fā)行版之一。與較重的發(fā)行版相比，它的容器映像體積很小，這是一個(gè)輕松提升效率的好方法。

但我們還可以進(jìn)一步簡(jiǎn)化！這些官方映像構(gòu)建（比如golang:alpine）都包含很多層，里面含一些安全組件，用來(lái)構(gòu)建應(yīng)用程序資產(chǎn)時(shí)很方便；但是如果我們的應(yīng)用程序不需要這些層，那就不要把它們放進(jìn)去！我們需要使用其他一些 Docker 構(gòu)建功能，進(jìn)一步縮小文件體積。

下一步：多階段

當(dāng)需要在生產(chǎn)環(huán)境中運(yùn)行應(yīng)用程序時(shí)，我們需要讓容器的設(shè)計(jì)可以確保性能和安全性。我們還需要盡可能多的可移植性，以便輕松地移動(dòng)容器，并使用 DockerSwarm 和 Kubernetes 之類的編排器對(duì)其進(jìn)行大規(guī)模調(diào)度。

將映像推入和拉出注冊(cè)表所需的時(shí)間應(yīng)盡量縮短。編寫用于生產(chǎn)的 Dockerfile 時(shí)，要記住的一個(gè)要點(diǎn)就是在最終運(yùn)行時(shí)映像中實(shí)踐極簡(jiǎn)主義。

如果運(yùn)行的時(shí)候并不需要某樣?xùn)|西，請(qǐng)不要把它放進(jìn)去！

在開發(fā)環(huán)境中，有時(shí)需要一個(gè)“較重”的容器映像，也許是一個(gè)開發(fā)人員專屬的 Dockerfile，方便開發(fā)人員隨時(shí)扔進(jìn)來(lái)一些工具，和容器一起進(jìn)行調(diào)試等開發(fā)活動(dòng)。也可能會(huì)附加或保留一兩個(gè)卷和活動(dòng)容器交互。這些當(dāng)然都是很常見的情況！

但是，隨著容器映像沿開發(fā)管線向上移動(dòng)，一定要記得把這些東西都取出來(lái)。一條正規(guī)的安全軟件供應(yīng)鏈會(huì)要求在管道中盡早構(gòu)建最終映像，對(duì)映像簽名，并將經(jīng)過(guò)正式簽名的映像推到生產(chǎn)環(huán)境的各個(gè)階段。

因此，你需要盡早在供應(yīng)鏈中構(gòu)建、驗(yàn)證、集成和簽名這個(gè)最小化的映像；這是 Dockerfile 開發(fā)人員、QA 團(tuán)隊(duì)和安全工程師必須熟悉的操作！換句話說(shuō)，只構(gòu)建一次，然后讓你的流程將生成的映像投入生產(chǎn)環(huán)境。

多階段構(gòu)建是實(shí)現(xiàn)這一目標(biāo)的一個(gè)好方法！多階段涉及的基本原理包括：調(diào)用一個(gè)臨時(shí)容器以簡(jiǎn)化應(yīng)用程序的構(gòu)建，然后將構(gòu)建的資產(chǎn)從這個(gè)空間復(fù)制到只有運(yùn)行應(yīng)用所需必要組件的容器映像中。拿之前的 Dockerfile 示例來(lái)說(shuō)：

FROM golang:alpine as builder RUN mkdir /build  ADD . /build/ WORKDIR /build  RUN go build -o main . FROM alpine RUN adduser -S -D -H -h /app appuser USER appuser COPY --from=builder /build/main /app/ WORKDIR /app CMD ["./main"]

注意這個(gè) Dockerfile 中的兩個(gè) FROM 指令。我們將第一個(gè)標(biāo)記為“builder”，使用它來(lái)構(gòu)建應(yīng)用程序。

然后，我們使用第二個(gè) FROM，這一次是從基本的“alpine”（非常輕巧！）中提取的，并將我們構(gòu)建的可執(zhí)行文件從該環(huán)境復(fù)制到該新環(huán)境。

這就讓映像的體積比以前小了很多！另外，“builder”容器被緩存在 docker builder 上下文中，因此可以像前面的示例一樣利用構(gòu)建緩存來(lái)提升速度！

$  docker build -t hellocloudreachmain:1.1 . -f Dockerfile.multi... (build output omitted)$  docker images | grep hellocloudreachmainhellocloudreachmain                1.0 d1c5090585bc  8 minutes ago 378MBhellocloudreachmain                1.1 ea737df5cc64 Less than a second ago    6.16MB

這個(gè)映像的大小是 6.16MB。相比 378MB 來(lái)說(shuō)，體積減少的效果很明顯！

最小化整個(gè)運(yùn)行環(huán)境……從頭開始構(gòu)建！

實(shí)際上，我們?cè)诰?jiǎn)之路上還可以走得更遠(yuǎn)。Golang 有很多有趣的特性，其中之一是你可以編譯為單個(gè)二進(jìn)制文件，并且在大多數(shù)情況下，你可以使用某些特殊的構(gòu)建時(shí)參數(shù)將所有相關(guān)的庫(kù)靜態(tài)編譯進(jìn)這個(gè)二進(jìn)制文件。

這樣我們就能構(gòu)建一個(gè)最小化的 Docker 容器，并減少額外的運(yùn)行時(shí)開銷，以實(shí)現(xiàn)我們所追求的出色性能、可移植性和安全性！

如果我們可以將 Golang 應(yīng)用程序編譯為單個(gè)二進(jìn)制文件，并將它靜態(tài)鏈接到依賴項(xiàng)上，就可以使用一個(gè) 0KB 容器來(lái)運(yùn)行這個(gè)應(yīng)用程序。這是 Docker 提供的一個(gè)特殊的基礎(chǔ)映像，稱為“scratch”。

在我們的 Docker 培訓(xùn)課程中總會(huì)遇到一個(gè)問(wèn)題：所有容器內(nèi)部都裝有操作系統(tǒng)嗎？答案是否定的，就是因?yàn)橛羞@種特殊類型！

這個(gè)映像內(nèi)部沒有關(guān)聯(lián)受支持的操作系統(tǒng)環(huán)境。它有一些特殊要求，最重要的是，主機(jī)的架構(gòu)必須支持編譯好的二進(jìn)制文件的架構(gòu)（x86、x64 等），然后，你實(shí)際得到的容器除了隔離功能和 Docker 容器的那些優(yōu)秀特性外，不向應(yīng)用程序提供任何功能或支持！盡量使用 scratch 作為基礎(chǔ)映像，將為你的應(yīng)用程序容器提供極高的簡(jiǎn)約性和安全性水平。

FROM golang:alpine as builder RUN mkdir /build  ADD . /build/ WORKDIR /build  RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -ldflags '-extldflags "-static"' -o main . FROM scratch COPY --from=builder /build/main /app/ WORKDIR /app CMD ["./main"]

在第 6 行，F(xiàn)ROM scratch 告訴 Docker 從頭開始，就像我們?cè)谏弦粋€(gè)多階段示例中看到的那樣，但這次使用的是 0KB 臨時(shí)映像。第一個(gè)階段與之前類似，但這次我們?cè)跇?gòu)建階段使用一些編譯時(shí)參數(shù)來(lái)指示 go 編譯器將運(yùn)行時(shí)庫(kù)靜態(tài)鏈接到二進(jìn)制文件本身：

RUNCGO_ENABLED=0GOOS=linuxgobuild-a-installsuffixcgo-ldflags'-extldflags"-static"'-omain.

在此示例中，最終的 Docker 映像只會(huì)包含這一個(gè)可執(zhí)行文件，而無(wú)需使用容器操作系統(tǒng)。

$ docker build -t hellocloudreachmain:1.2 . -f Dockerfile.scratch ... (build output omitted) $ docker images | grep hellocloudreachmain hellocloudreachmain 1.0 d1c5090585bc 8 minutes ago 378MB hellocloudreachmain 1.1 ea737df5cc64 4 minutes ago 6.16MB hellocloudreachmain 1.2 bda5c99404ae 33 seconds ago 2.01MB

太棒了，生成的容器大小只有 2.01MB！與最初的 378MB 映像相比，這是一個(gè)巨大的進(jìn)步！

那么這些真的有用嗎？

$  docker run -it hellocloudreachmain:1.0 Hello Cloudreach! $  docker run -it hellocloudreachmain:1.1 Hello Cloudreach! $  docker run -it hellocloudreachmain:1.2 Hello Cloudreach!

小結(jié)

我們用一個(gè)基本的 Dockerfile 舉例，然后一步步縮減最終映像的體積。通過(guò)這個(gè)簡(jiǎn)單的練習(xí)，我們很容易看到在構(gòu)建 Golang 應(yīng)用程序時(shí)，有很多選擇可以在 Docker 構(gòu)建中實(shí)踐極簡(jiǎn)主義。

我們有很多辦法可以利用這種語(yǔ)言的特性，及其在編譯期間提供給開發(fā)人員的特性來(lái)減小容器的體積。由于 Golang 可以編譯為靜態(tài)鏈接的可執(zhí)行文件，因此我們能利用這類特性為運(yùn)行時(shí)剝離所有不必要的組件。

更復(fù)雜的應(yīng)用程序和構(gòu)建可能無(wú)法遵循和上面完全相同的設(shè)計(jì)模式，但是這些原理可以應(yīng)用在大多數(shù) Golang Dockerfile 上！只需花一些時(shí)間來(lái)確保自己使用行業(yè)最佳實(shí)踐正確構(gòu)建 Dockerfile，就能成功地在容器中構(gòu)建快速、安全和可擴(kuò)展的應(yīng)用程序！