内容简介:对于dockerfile而言,何为完美? 我认为应该满足以下三点:话说不说,直接上拿走可用的Dockerfile。首先,这个dockerfile分为builder和final两部分。
对于dockerfile而言,何为完美? 我认为应该满足以下三点:
- 体积小
- 构建快
- 够安全
话说不说,直接上拿走可用的Dockerfile。
FROM golang:1.13.5-alpine3.10 AS builder WORKDIR /build RUN adduser -u 10001 -D app-runner ENV GOPROXY https://goproxy.cn COPY go.mod . COPY go.sum . RUN go mod download COPY . . RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o your-application . FROM alpine:3.10 AS final WORKDIR /app COPY --from=builder /build/your-applicatio /app/ #COPY --from=builder /build/config /app/config COPY --from=builder /etc/passwd /etc/passwd COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ USER app-runner ENTRYPOINT ["/app/fangs-backend"] 复制代码
逐行拆解
首先,这个dockerfile分为builder和final两部分。
builder选择了 golang:1.13.5-alpine3.10
作为编译的基础镜像,相比于 golang:1.13
, 一方面是因为它体积更小,另一方面是我发现 golang:1.13
的编译结果,在 alpine:3.10
中会报 not found
的错误,虽说有人提供了其它的 解决方案
,但是能直接避免,为啥不避免呢。
RUN adduser -u 10001 -D app-runner 复制代码
接着是创建了一个 app-runner
的用户, -D
表示无密码。
此用户的信息是是需要拷到final中,作为应用程序的启动用户。这是为了避免使用container中的默认用户 root
,那可是有安全漏洞的,详细解释,可以参考这篇medium上的文章 Processes In Containers Should Not Run As Root
再下面的四行,
ENV GOPROXY https://goproxy.cn COPY go.mod . COPY go.sum . RUN go mod download 复制代码
是配置了国内的代理,安装依赖包了。这里用 go mod download
的好处是下次构建镜像文件时,当 go.mod
和 go.sum
没有改变时,它是有缓存的,可以避免重复下载依赖包,加快构建。
builder的最后,就是把当前目录的文件拷过去,编译代码了。
COPY . . RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o your-application . 复制代码
final选择了 alpine:3.10
,一方面是体积小,只有5m;另一方面也是和构建镜像的alpine版本保持一致。
接下来几行没啥说的,就是把构建结果、配置文件( 有的话 )和用户的相关文件拷过去。
下面的这步一定不要忘记了,
USER app-runner 复制代码
没有它,container启动时就是用root用户启动了!!! 如果被攻击了,那黑客可是就有root权限了( 不要问我为啥会被攻击 )。
最后,设置一个 ENTRYPOINT
,完事!
如果你程序的启动过程比较复杂,或者是要在启动时根据环境变量的值做不同的操作,那还是写个 shell 文件吧。
以上所述就是小编给大家介绍的《手把手教你写一个完美的Golang Dockerfile》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
