golang 一份漂亮的Dockerfile

陈光岚_强化班 · · 1174 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

对于dockerfile而言,何为完美? 我认为应该满足以下三点:

  • 体积小
  • 构建快
  • 够安全

话说不说,直接上拿走可用的Dockerfile。

FROM golang:1.13.5-alpine3.10 AS builder

WORKDIR /build
RUN adduser -u 10001 -D app-runner

ENV GOPROXY https://goproxy.cn
COPY go.mod .
COPY go.sum .
RUN go mod download

COPY . .
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o your-application .

FROM alpine:3.10 AS final

WORKDIR /app
COPY --from=builder /build/your-application /app/
#COPY --from=builder /build/config /app/config
COPY --from=builder /etc/passwd /etc/passwd
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/

USER app-runner
ENTRYPOINT ["/app/your-application"]
复制代码

逐行拆解

首先,这个dockerfile分为builder和final两部分。

builder选择了golang:1.13.5-alpine3.10作为编译的基础镜像,相比于golang:1.13, 一方面是因为它体积更小,另一方面是我发现golang:1.13的编译结果,在alpine:3.10中会报not found的错误,虽说有人提供了其它的解决方案,但是能直接避免,为啥不避免呢。

RUN adduser -u 10001 -D app-runner
复制代码

接着是创建了一个app-runner的用户, -D表示无密码。

此用户的信息是是需要拷到final中,作为应用程序的启动用户。这是为了避免使用container中的默认用户root,那可是有安全漏洞的,详细解释,可以参考这篇medium上的文章Processes In Containers Should Not Run As Root

再下面的四行,

ENV GOPROXY https://goproxy.cn
COPY go.mod .
COPY go.sum .
RUN go mod download
复制代码

是配置了国内的代理,安装依赖包了。这里用go mod download的好处是下次构建镜像文件时,当go.modgo.sum没有改变时,它是有缓存的,可以避免重复下载依赖包,加快构建。

builder的最后,就是把当前目录的文件拷过去,编译代码了。

COPY . .
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o your-application .
复制代码

final选择了alpine:3.10,一方面是体积小,只有5m;另一方面也是和构建镜像的alpine版本保持一致。

接下来几行没啥说的,就是把构建结果、配置文件(有的话)和用户的相关文件拷过去。

下面的这步一定不要忘记了,

USER app-runner
复制代码

没有它,container启动时就是用root用户启动了!!! 如果被攻击了,那黑客可是就有root权限了(不要问我为啥会被攻击)。

最后,设置一个ENTRYPOINT,完事!


有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:陈光岚_强化班

查看原文:golang 一份漂亮的Dockerfile

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

1174 次点击  ∙  2 赞  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传