譯者 | 布加迪

審校 | 重樓

Docker是流行的容器化軟件，但不是每個人都在高效地使用它。如果您不遵循Docker的優秀實踐，您的應用程序就很容易受到安全問題或性能問題的影響。

本文介紹了您可以用來高效地使用Docker功能的幾個最佳實踐。這些措施提高了安全性，并確保您創建易于維護的Docker文件。

1.使用官方Docker鏡像

在容器化處理應用程序時，必須使用Docker鏡像。您可以使用自定義配置構建鏡像，也可以使用Docker的官方鏡像。

構建自己的鏡像需要您自行處理所有配置。比如說，若為Node.js應用程序構建鏡像，您必須下載Node.js及其依賴項。這個過程很耗時，可能不會生成所有正確的配置。

Docker建議您使用官方的Node.js鏡像，它包含所有正確的依賴項。Docker鏡像有更好的安全措施，具有輕量級的優點，并針對各種環境進行了測試。你可以在Docker的官方鏡像頁面上找到官方鏡像。

2.使用Docker鏡像的特定版本

當您拉取官方鏡像時，它通常帶有最新標簽，這代表該鏡像的最新更新版本。每當使用該鏡像構建容器，它都是上一個容器的不同版本。

使用不同的Docker鏡像版本進行構建可能導致應用程序出現不可預測的行為。版本可能會與其他依賴項沖突，最終導致應用程序失敗。

Docker建議您使用特定版本的鏡像進行拉取和構建。官方鏡像也有說明文檔，介紹了最常見的用例。

比如說，使用docker pull alpine:3.18.3，而不是docker pull alpine。Docker將提取該特定版本。然后，您可以在后續構建中使用它，從而減少應用程序中的錯誤。您可以在Docker官方鏡像頁面的Supported標簽和相應的Dockerfile鏈接下找到鏡像的特定版本：

3.掃描鏡像以查找安全漏洞

如何確定想要構建的鏡像沒有安全漏洞？掃描就行。可以使用Docker scan命令掃描Docker鏡像。語法如下：

docker scan [IMAGE]

您必須先登錄到Docker才能掃描鏡像。

docker login

然后，掃描您想要檢查的特定鏡像：

docker scan ubuntu: latest

一種名為Synk的工具可以掃描鏡像，根據嚴重程度列出任何漏洞。您可以看到漏洞的類型和指向相關信息的鏈接（包括如何修復它）。您可以從掃描結果中判斷鏡像對您的應用程序而言是否足夠安全。

4.使用小型Docker鏡像

當您拉取Docker鏡像時，它附帶所有系統實用程序。這增加了不需要的工具的鏡像大小。

大型Docker鏡像占用存儲空間，并且減慢容器的運行速度。它們存在安全漏洞的可能性也更大。

您可以使用Alpine鏡像減小Docker鏡像的大小。Alpine鏡像是輕量級的，只附帶必要的工具。它們減少了存儲空間，使應用程序運行起來更快速、更高效。

可以在Docker上找到大多數官方鏡像的Alpine版本。下面是PostgreSQL的Alpine版本的示例：

5.優化緩存鏡像層

Dockerfile中的每個命令代表鏡像上的一個層。這些層有不同的實用程序，并執行不同的功能。如果您查看Docker Hub上的官方鏡像，將會看到用于創建它們的說明。

Dockerfile包含創建鏡像所需的全部內容。這就是為什么許多開發人員青睞Docker而不是虛擬機的原因之一。

下面是示例Alpine鏡像的結構：

當您構建基于鏡像的應用程序時，實際上在為鏡像添加更多的層。Docker從上到下在Dockerfile上運行指令，如果一個層發生了變化，Docker必須重建后續的層。

最佳實踐是將您的Dockerfile按照由更改最少的文件到更改最頻繁的文件這個順序排列。不會改變的指令（比如安裝）可以放在文件的頂部。

當您修改一個文件時，Docker根據修改后的文件進行構建，并在上面緩存未修改的文件。因此，流程運行速度更快。

請看上圖所示的例子。如果應用程序文件發生了變化，Docker將從那里構建，它沒必要再次安裝NPM包。

如果從鏡像構建，該過程將比從頭重建所有其他層運行得更快。緩存也加快了從Docker Hub拉取和推送鏡像的速度。

6.使用.dockerignore文件

在使用Dockerfile構建鏡像時，您可能希望保留某些信息的私密性。一些文件和文件夾可能是項目的一部分，但您不希望將它們包含在構建過程中。

使用.dockerignore文件可以大大減小鏡像大小。這是由于構建過程只包含必要的文件。它還有助于保持文件的私密性，避免暴露密鑰或密碼。

.dockerignore文件是您在與Dockerfile相同的文件夾中創建的一個文件。它是一個文本文件，酷似.gitignore文件，含有您不希望在構建過程中包含的任何文件的名稱。

這里有一個例子：

7.使用最小權限用戶原則

默認情況下，Docker使用root用戶作為管理員以便獲得運行命令的權限，但這種做法不好。如果其中一個容器存在漏洞，黑客就可以訪問Docker主機。

為了避免這種情況，應創建專用的用戶和用戶組。您可以為用戶組設置相應的權限，以保護敏感信息。如果用戶受到危及，您可以在不暴露整個項目的情況下刪除該用戶。

下面這個例子展示了如何創建用戶并設置權限：

一些基本鏡像在其中創建了偽用戶。您可以使用已安裝的用戶，而不是root用戶權限。

最佳實踐是減少漏洞和編寫更簡潔代碼的好方法。您可以將許多最佳實踐應用于使用的每項Docker特性。

一個組織良好的項目可以更容易與Kubernetes等其他編排工具進行同步。您可以從本文中概述的這些方法入手，在學習Docker的過程中采用更多的方法。

原文標題：8 Docker Best Practices You Should Know About，作者：Sandra Dindi