Docker BuildKit 构建与缓存优化（多缓存、Secrets、Inline Cache）

概述

BuildKit 提供并行与增量构建能力，支持多缓存源与安全 Secret 挂载。合理配置可显著缩短构建时长。

关键实践与参数

• 启用 BuildKit：`DOCKER_BUILDKIT=1` 或 CLI `--builder`。
• 多缓存：`--cache-from` 与 `--cache-to type=registry,mode=max`；复用远程缓存。
• Secrets：`RUN --mount=type=secret,id=NPM_TOKEN`，避免将机密写入镜像层。
• Inline Cache：在镜像元数据记录构建缓存，后续构建可复用。

示例（Dockerfile 片段）

# syntax=docker/dockerfile:1.5
FROM node:18 AS build
RUN --mount=type=cache,target=/root/.npm npm ci
RUN --mount=type=secret,id=NPM_TOKEN npm set //registry.npmjs.org/:_authToken=$NPM_TOKEN

验证方法

• 观察构建日志与缓存命中；统计首次与二次构建时长对比。
• 检查镜像层是否包含机密；确保 Secrets 未落盘。
• 远程缓存可用性与回退策略验证。

注意事项

• 缓存键与路径需稳定；避免依赖变更导致缓存失效。
• 密钥管理与权限控制；配合 KMS/Vault。
• 构建上下文与 `.dockerignore` 优化，减少传输与缓存污染。