概览

多阶段构建将编译与运行环境分离，产出最小化运行镜像，降低安全面与传输成本。

正文

1. 基础策略

• Builder阶段安装依赖并编译，Runtime阶段仅携带产物与最小依赖。
• 选择瘦身基础镜像：alpine或distroless，谨慎权衡兼容性。

2. 分层与缓存

• 合并RUN指令减少层数；固定apt源与版本以稳定缓存。
• 利用--mount=type=cache（BuildKit）缓存依赖与编译中间结果。

3. 安全与合规

• 移除构建工具与敏感文件；设置非root用户运行。
• 使用trivy等工具扫描漏洞，建立镜像基线与更新策略。

参考资料

• Docker Build 文档: https://docs.docker.com/build/