掌握Docker：高效安全的十大最佳实践

• 使用轻量级基础镜像：从受信任的官方 Docker 镜像开始作为基础。
• 使用轻量级基础镜像：轻量级的镜像如 alpine 更小，下载更快，并且减少了攻击面。
• 减少层：合并命令以减少 Dockerfile 中的层（例如，在单个 RUN 指令中使用 && 连接多个命令）。
• 清理缓存：例如，对于 Ubuntu，您可以在安装完成后移除包管理器和缓存（例如，使用 apt-get clean）。

如图所示

• 采用多阶段构建：将构建依赖与运行时环境分离，使生产镜像更精简。

• 不要在容器中使用 root 用户：使用 Dockerfile 中的 USER 指定一个非 root 用户。

• 确保 Docker 及其使用的镜像定期更新。

• 使用 COPY 而不是 ADD：COPY 更直观，不会像 ADD 那样自动解压缩文件，减少不必要的复杂性。

• 创建一个类似于 .gitignore 的 .dockerignore 文件，避免不必要的文件被复制到镜像中。

• 利用缓存的构建命令：将较少变动的指令放在 Dockerfile（Docker 构建文件）顶部，以充分利用 Docker 的缓存功能。
• 使用特定版本：避免在生产环境中使用 latest 标签，因为这可能导致不可预知的行为；将镜像锁定在特定版本，这样可以确保稳定性和可重复性。

这是一个图片：

• 通过使用多个容器来分离关注点：对于复杂的应用程序，将服务（例如，将数据库、Web 服务器和应用层拆分开）拆分到不同的容器。
• 使用 Docker Compose 进行本地开发：它使得处理复杂的多容器应用程序更容易，并创建一个一致的开发环境。

• 设置内存和CPU的限制：使用Docker的资源限制以避免单个容器使用过多资源（--memory 和 --cpus）。
• 使用只读文件系统访问：尽可能将文件系统设置为只读（--read-only）。

{:width="200"} （点击图片查看）

• 集中日志：配置Docker将日志发送至集中的日志服务（如ELK Stack、Splunk或AWS CloudWatch）。
• 监控容器状态：利用Prometheus或Grafana等工具监控性能、内存和CPU使用。

请参见图片。

• 使用密钥管理功能：避免不必要的端口暴露，并利用Docker网络来隔离服务，尤其是在swarm模式中。
• 使用密钥管理功能：对于如密码和API密钥之类的敏感信息，使用Docker Secrets。

如图所示，这是一张示例图片：

• 设置健康检查指令：在Dockerfile中添加健康检查指令，确保容器健康（HEALTHCHECK指令）。
• 清理不再使用的容器和镜像：定期清理不再使用的镜像、数据卷和网络连接（docker system prune）以节省磁盘空间。

多阶段构建方法使你能够通过将构建依赖项与运行时需求分开，来创建更精简的生产环境。

• 构建阶段：构建第一个阶段，用于编译或构建应用程序。此阶段可以包含所有必要的依赖项和工具。
• 最终阶段：仅从构建阶段复制所需的文件到一个更小的基础镜像。这将产生一个更干净、更小的最终镜像。
• 示例：例如，我们使用Alpine镜像来运行Laravel

FROM serversideup/php:8.2-cli-v2.2.1 as builder

ARG LARAVEL_ENV_ENCRYPTION_KEY
COPY ./ /var/www
WORKDIR /var/www

RUN <<EOF 
composer install --ignore-platform-reqs --no-interaction --no-dev --prefer-dist --optimize-autoloader

php artisan env:decrypt --force
EOF
# ================================================== #

FROM serversideup/php:8.2-fpm-nginx-v2.2.1

ENV AUTORUN_LARAVEL_MIGRATION=true
ENV SSL_MODE=off
ENV PHP_MEMORY_LIMIT=128M
ENV PHP_MAX_EXECUTION_TIME=30

WORKDIR /var/www/html

COPY --chown=$PUID:$PGID --from=builder /var/www/ /var/www/html

RUN php artisan optimize

HEALTHCHECK CMD curl -s --fail http://localhost/health || exit 1

CMD ["su", "webuser", "-c", "php artisan schedule:work"]

EXPOSE 80

全屏模式 退出全屏

Docker BuildKit 是一个可选的图像构建引擎，与传统过程相比，BuildKit 能提供显著的改进。BuildKit 可以并行构建图像层，从而大幅加快整体构建速度。

尽管 BuildKit 现在已经很稳定，Docker 默认情况下仍然没有将其内置。如果你想使用它的功能，确保在你的 Docker 客户端中启用 BuildKit。有一个活跃的提案打算将 BuildKit 设为标准构建引擎，但仍有一些未解决的问题阻碍了这次切换。标准构建引擎

===================================

遵守这些最佳实践可以简化开发，增强安全性，并使扩展和维护Docker容器更简单。

如果这对你有帮助，就支持一下吧😉

没钱 🙅🏻‍♀️ 只需点击订阅YouTube频道。别无他求。

Linktree个人资料: https://linktr.ee/DevOps_Descent
**GitHub：https://github.com/devopsdescent