1. CNBPA云原生社区首页
  2. 云原生技术
  3. K8s容器
  4. Docker与容器基础

Dockerfile怎么写?镜像构建最佳实践

Docker与容器基础

本文聚焦 Dockerfile 镜像构建场景,从基础镜像选择、多阶段构建、缓存优化、非 root 运行和安全收敛等维度展开,帮助团队写出更稳定、更轻量、更可维护的镜像构建文件。

Dockerfile怎么写,表面上是语法问题,实际上是镜像工程问题。很多团队在容器化初期会把 Dockerfile 写成“能跑就行”的脚本:基础镜像随手选、命令随手堆、缓存不考虑、权限不收敛、清理也不做。短期看似方便,长期则会带来镜像体积变大、构建时间变长、发布稳定性下降和安全风险暴露等一系列问题。真正高质量的 Dockerfile,应该同时兼顾可读性、可复现性、可缓存性和可审计性。

本文适用范围是研发团队、平台工程团队和 DevOps 团队在构建应用镜像时的日常实践。你不需要把 Dockerfile 写成复杂模板,但必须把几个关键原则固定下来:构建结果可预测、层级设计清晰、运行时环境最小化、默认安全边界明确。

先看一个好 Dockerfile 应该满足什么标准

一个可长期维护的 Dockerfile,通常至少满足下面四点:

  • 构建顺序稳定,任何人按相同输入都能得到相同结果
  • 每一层都有明确职责,便于缓存复用和变更定位
  • 运行镜像尽量精简,减少攻击面和分发成本
  • 应用以非 root 用户运行,默认权限尽量收敛
Dockerfile 构建层级与缓存命中流程示意

如果你的 Dockerfile 不能回答“为什么这个命令要放在这里”“为什么这层会变化”“为什么镜像这么大”,那它大概率还停留在试验阶段。

基础镜像的选择不是越小越好,而是越合适越好

很多人一上来就追求极简镜像,结果把调试工具、证书、时区、字体库和依赖都漏掉,最后不是运行时报错,就是为了补环境又不断补层。选择基础镜像时,建议先从三个问题判断:

  1. 应用运行时真正需要什么语言运行环境
  2. 是否依赖系统级库、证书、时区或特定 shell
  3. 是否需要在镜像内执行构建步骤,还是可以分离到构建阶段

常见做法是:

  • Java 服务可优先考虑 JRE 或精简 JDK 镜像
  • Go 服务可在构建阶段使用完整工具链,在运行阶段只保留二进制和必要证书
  • Node.js 应用应优先控制依赖安装范围,尽量避免把开发依赖带入运行层

不要为了“更小”盲目切换到最轻量发行版。对于需要排查问题的企业场景,过度压缩反而会增加运维成本。

多阶段构建是 Dockerfile 里最值得养成的习惯

多阶段构建的核心价值不是“高级”,而是把构建环境和运行环境彻底分离。构建阶段负责编译、安装、测试、打包;运行阶段只保留产物。这样做的好处很直接:

  • 最终镜像更小
  • 构建依赖不会污染运行环境
  • 安全边界更清晰
  • 产物更容易复现

一个典型的多阶段 Dockerfile 可以这样写:

# 构建阶段
FROM golang:1.22-alpine AS builder
WORKDIR /src
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -o app ./cmd/app

# 运行阶段
FROM alpine:3.20
RUN apk add --no-cache ca-certificates tzdata && addgroup -S app && adduser -S app -G app
WORKDIR /app
COPY --from=builder /src/app /app/app
USER app
EXPOSE 8080
ENTRYPOINT ["/app/app"]

这类写法的重点不是语言本身,而是把“构建逻辑”和“运行逻辑”拆开。你会发现运行镜像更干净,升级依赖也更简单。

Dockerfile 多阶段构建与运行镜像拆分示意

层级顺序决定了缓存效率,顺序写错会让每次构建都重来

Docker 的镜像层缓存非常依赖命令顺序。通常建议把“变化少”的内容放前面,把“变化多”的内容放后面。比如依赖清单、系统工具安装、基础配置等通常变化较少,而应用源码变化最频繁,应该尽量放在后面。

一个常见的优化方式是:

  • 先复制依赖描述文件,再安装依赖
  • 再复制业务代码
  • 最后执行构建或打包

例如 Node.js 项目中,如果你把 COPY . . 放在最前面,那么源码每次改动都会导致后续依赖安装层失效,构建时间会被显著拉长。正确的层级设计应该尽量把高成本操作前置并稳定化。

缓存优化可以直接落到几个动作上

  • 合并相关的 RUN 指令,减少无意义分层
  • 清理临时文件和包缓存,避免体积膨胀
  • 依赖安装步骤只围绕锁定文件触发变化
  • CI 环境中启用构建缓存或远程缓存加速

如果团队经常抱怨“改一行代码,镜像就从头构建”,优先不是怪 Docker 慢,而是检查 Dockerfile 的层级设计是否合理。

这些写法会让镜像越来越难维护

即使语法没错,也不代表写法合理。以下几类问题在企业环境里尤其常见:

1. 把一切都写进单个 RUN

过长的单层脚本虽然看起来整齐,但排查失败很困难,缓存也不够灵活。建议把有明确边界的步骤拆开,但不要拆得过碎。

2. 使用 latest 作为唯一版本引用

latest 在调试阶段可以临时使用,但不适合作为生产构建的稳定版本。稳定镜像应该尽量绑定可追溯版本号或固定摘要。

3. 忽略 .dockerignore

如果没有 .dockerignore,很多无关文件、测试产物和本地缓存都会被送进构建上下文,不但拖慢构建,还可能把敏感内容带进镜像。

4. 把调试工具留在运行镜像里

curl、vim、gcc、git 之类工具并不是不能用,而是不应该默认留在最终交付镜像里。能放在构建阶段的就不要放进运行阶段。

5. 默认用 root 用户启动

这是最容易被忽略的安全问题之一。即便容器有隔离边界,默认 root 仍然不是推荐选择。最好创建专用用户,显式切换权限。

Dockerfile 安全收敛与非 root 运行示意

一个更适合企业团队的 Dockerfile 写法框架

你可以把 Dockerfile 的设计思路概括为以下顺序:

  1. 选择基础镜像
  2. 安装必要系统依赖
  3. 复制锁定文件并安装依赖
  4. 复制业务代码并构建产物
  5. 生成运行镜像
  6. 切换非 root 用户
  7. 暴露必要端口并定义启动命令

这个框架的目标不是统一模板,而是让团队形成稳定的共识。只要项目仍然在容器化运行,就应该把镜像构建流程当作产品的一部分,而不是临时脚本。

从工程实践角度看,Dockerfile 还要和 CI/CD 配合

Dockerfile 不是独立存在的,它会和流水线、制品仓库、部署系统一起工作。为了让镜像构建真正稳定,建议同步做好下面几件事:

  • 在 CI 中固定构建环境版本,避免基础工具链漂移
  • 对镜像打标签时保留语义化版本和提交摘要
  • 对构建产物做扫描和签名,增强供应链可追溯性
  • 在仓库侧设置保留策略,避免无穷增长

如果你把镜像构建看作发布链路的一环,那么 Dockerfile 的每一次改动,其实都影响着交付速度、回滚能力和安全合规。

进一步阅读方向

如果团队已经开始规范 Dockerfile,可以继续结合 容器镜像 方向梳理镜像分层、仓库治理和漏洞扫描;结合 容器安全 方向补齐非 root、最小权限和供应链治理;也可以回到 Docker容器 体系中统一理解构建、运行和发布链路。

FAQ

Dockerfile 里最重要的第一条原则是什么?

最重要的不是写法炫技,而是可复现。也就是说,同样的上下文、同样的依赖输入、同样的基础镜像版本,应该构建出尽可能一致的结果。只有可复现,后续的排错、回滚和审计才有基础。

多阶段构建一定比单阶段更好吗?

多数应用场景下是更好的,但前提是你确实有构建与运行分离的需求。如果一个极简工具镜像只是做简单脚本执行,单阶段也可能更直接。关键是看运行时是否需要完整构建工具链,而不是盲目套模板。

为什么镜像越写越大?

通常是因为基础镜像过重、安装命令没有清理缓存、把不必要文件带进构建上下文、调试工具残留在运行层,以及没有把构建产物和运行环境分开。体积问题往往不是单点错误,而是多个小问题叠加。

Dockerfile 里为什么要尽量前置不变步骤?

因为镜像构建是层缓存机制。前面的层如果稳定,后面的改动就不会反复让所有步骤失效。把高频变更内容放到后面,是提升构建效率最直接的方法之一。

生产环境一定要使用非 root 用户吗?

强烈建议。容器不是绝对安全边界,但默认 root 会放大误操作和攻击后的影响范围。即使业务容器只提供一个服务,也应该尽量使用专用低权限用户运行。

什么时候应该考虑重写 Dockerfile?

当你发现构建时间过长、镜像体积异常、标签语义混乱、回滚不可追踪、缓存命中率很低时,就应该重新整理 Dockerfile,而不是只在原有写法上修补。很多团队不是缺少优化技巧,而是缺少一版真正清晰的构建结构。

转载请注明出处:https://www.cloudnative-tech.com/p/7320/

(0)
上一篇 1小时前
下一篇 1小时前

相关推荐