Docker에서 다단계 빌드를 사용하여 더 작고 안전한 이미지를 만드는 방법은 무엇입니까?

Docker에서 다단계 빌드를 사용하여 더 작고 안전한 이미지를 만드는 방법은 무엇입니까?

Docker의 다단계 빌드는 Dockerfile의 여러 FROM 을 사용할 수있는 기능입니다. 각각 FROM 명령문은 빌드 프로세스의 새로운 단계를 시작할 수 있으며 한 단계에서 다른 단계에서 아티팩트를 복사 할 수 있습니다. 이 방법은 런타임 환경에서 빌드 환경을 분리하여 작고 안전한 Docker 이미지를 작성하는 데 특히 유용합니다.

다단계 빌드를 사용하여이를 달성하는 방법은 다음과 같습니다.

1. 빌드 스테이지 정의 : 응용 프로그램을 컴파일하거나 아티팩트를 준비하는 빌드 스테이지를 정의하여 시작하십시오. 예를 들어, golang 이미지를 사용하여 Go 응용 프로그램을 컴파일 할 수 있습니다.

    <code class="Dockerfile">FROM golang:1.16 as builder WORKDIR /app COPY . . RUN go build -o myapp</code>

2. 런타임 단계 정의 : 빌드 스테이지 후에 최소 기본 이미지로 런타임 단계를 정의하십시오. 빌드 단계에서 필요한 아티팩트만이 런타임 단계로 복사하십시오.

    <code class="Dockerfile">FROM alpine:3.14 COPY --from=builder /app/myapp /myapp CMD ["/myapp"]</code>

다단계 빌드를 사용하면 응용 프로그램을 실행하는 데 필요한 것만 포함 된 최종 이미지로 끝납니다. 이는 건물에 사용되는 이미지에 비해 상당히 작고 잠재적 인 취약점이 적습니다.

다단계 Docker 빌드에서 코드를 구성하기위한 모범 사례는 무엇입니까?

다단계 Docker 빌드에서 효과적으로 코드를 구성하면 Dockerfile의 효율성과 명확성을 크게 향상시킬 수 있습니다. 모범 사례는 다음과 같습니다.

1. 별도의 관심사 : 다른 목적 (예 : 건물, 테스트 및 배포)을 위해 다른 단계를 사용하십시오. 이러한 우려의 분리로 인해 Dockerfile을 쉽게 이해하고 유지할 수 있습니다.

    <code class="Dockerfile"># Build stage FROM node:14 as builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build # Test stage FROM node:14 as tester WORKDIR /app COPY --from=builder /app . RUN npm run test # Runtime stage FROM node:14-alpine WORKDIR /app COPY --from=builder /app/build /app/build CMD ["node", "app/build/index.js"]</code>

2. 레이어 수를 최소화하십시오 : 이미지의 레이어 수를 줄이기 위해 가능한 한 실행 명령을 결합하십시오. 이 연습은 빌드 프로세스의 속도를 높일뿐만 아니라 결과 이미지를 더 작게 만듭니다.

    <code class="Dockerfile">RUN apt-get update && \ apt-get install -y some-package && \ rm -rf /var/lib/apt/lists/*</code>

3. .dockerignore 사용 : .dockerignore 파일을 작성하여 불필요한 파일이 Docker 빌드 컨텍스트에 복사되는 것을 제외합니다. 이는 빌드 프로세스 속도를 높이고 이미지 크기를 줄입니다.
4. 복사 작업 최적화 : 각 단계에 필요한 파일 만 복사하십시오. 예를 들어, node.js 응용 프로그램의 빌드 스테이지에서 package.json 먼저 복사하고 npm install 실행 한 다음 나머지 응용 프로그램을 복사 할 수 있습니다.
5. 명명 된 단계 사용 : Dockerfile을 쉽게 읽고 유지할 수 있도록 단계에 의미있는 이름을 부여하십시오.

다단 단계 Docker 빌드에서 캐싱을 최적화하여 빌드 시간을 개선하려면 어떻게해야합니까?

다단계 Docker 빌드에서 캐싱을 최적화하면 빌드 시간을 크게 줄일 수 있습니다. 다음은이를 달성하기위한 몇 가지 전략입니다.

1. 운영 순서 : Dockerfile의 끝을 향해 자주 변경되는 명령을 배치합니다. Docker는 Dockerfile의 시작 부분에서 레이어를 캐시하여 후속 빌드 속도를 높입니다.

    <code class="Dockerfile">FROM node:14 as builder WORKDIR /app COPY package*.json ./ RUN npm install COPY . . RUN npm run build</code>

   이 예에서는 npm install 응용 프로그램 코드보다 변경 될 가능성이 적으므로 COPY . . 명령.

2. 다단계 빌드 사용 : 각 단계는 독립적으로 캐시 할 수 있습니다. 즉, 각 단계의 빌드 캐시를 활용하여 후속 빌드에서 시간을 절약 할 수 있습니다.

3. Leverage BuildKit : Docker BuildKit은 개선 된 빌드 캐싱 메커니즘을 제공합니다. 환경 변수 DOCKER_BUILDKIT=1 설정하여 BuildKit을 활성화하고 새 RUN --mount 명령을 사용하여 캐시 디렉토리를 마운트하십시오.

    <code class="Dockerfile"># syntax=docker/dockerfile:experimental FROM golang:1.16 as builder RUN --mount=type=cache,target=/root/.cache/go-build \ go build -o myapp</code>

4. Docker 빌드 컨텍스트를 최소화하십시오 . .dockerignore 파일을 사용하여 빌드 컨텍스트에서 불필요한 파일을 제외하십시오. 컨텍스트가 작은 것은 전송 데이터가 적고 더 빠른 빌드를 의미합니다.
5. 특정 기본 이미지 사용 : 경량 및 안정적인베이스 이미지를 사용하여 빌드 중에 기본 레이어를 당기는 데 걸리는 시간을 줄입니다.

Docker Build가 단일 단계 빌드에 비해 어떤 보안 혜택을 제공합니까?

다단계 Docker Builds는 단일 단계 빌드와 비교하여 몇 가지 보안 이점을 제공합니다.

1. 더 작은 이미지 크기 : 빌드 스테이지에서 런타임 단계로 필요한 아티팩트 만 복사하면 다단계 빌드는 훨씬 작은 최종 이미지를 초래합니다. 작은 이미지는 취약 할 수있는 구성 요소가 적기 때문에 공격 표면이 줄어 듭니다.
2. 취약성 감소 : 최종 이미지에는 빌드 프로세스 중에 만 필요한 빌드 도구 또는 종속성이 포함되어 있지 않기 때문에 공격자가 해당 도구에서 취약점을 악용 할 수있는 기회는 적습니다.
3. 빌드 및 런타임 환경의 분리 : 다단계 빌드를 사용하면 응용 프로그램을 구축하고 실행하는 데 다른 기본 이미지를 사용할 수 있습니다. 빌드 환경은 더 허용 될 수 있으며 컴파일 또는 포장에 필요한 도구를 포함시킬 수 있지만 런타임 환경은 보안을 위해 더 제한되고 최적화 될 수 있습니다.
4. 더 쉽게 준수 : 더 작고 집중된 이미지는 취약성을 스캔하고 보안 정책을 준수 할 수 있으므로 안전한 환경을 더 쉽게 유지할 수 있습니다.
5. 비밀 노출 제한 : 민감한 데이터 (빌드 중에 사용되는 API 키와 같은)는 최종 이미지에 포함될 필요가 없기 때문에 다단계 빌드는 비밀이 런타임 환경에 노출되는 것을 방지하는 데 도움이 될 수 있습니다.

다단계 빌드를 활용하면 Docker 이미지의 보안 자세를 크게 향상시키면서 크기와 성능을 최적화 할 수 있습니다.

위 내용은 Docker에서 다단계 빌드를 사용하여 더 작고 안전한 이미지를 만드는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!