镜像瘦身方法多阶段构建:在构建阶段安装编译依赖,只将最终产物复制到运行阶段镜像。精简基础镜像:优先选择 `alpine` 或发行版的瘦身变体;注意 glibc 兼容性。减少层与缓存:合并命令、清理包缓存;使用 `.dockerignore` 排除不必要文件。只复制需要的产物:限制复制范围(如 `dist/`、二进制文件)。示例(Node.js):FROM node:18-alpine AS build WORKDIR /app COPY package*.json ./ RUN npm ci --only=production COPY . . RUN npm run build FROM node:18-alpine AS runtime WORKDIR /app ENV NODE_ENV=production COPY --from=build /app/dist ./dist COPY --from=build /app/node_modules ./node_modules USER node CMD ["node", "dist/server.js"] 安全加固要点非 root 运行:设置 `USER`,减少权限风险。固定版本与校验:避免 `latest`;对关键二进制做校验(如 `sha256`)。漏洞扫描:将 `trivy`/`grype` 等纳入 CI,阻断高危漏洞镜像发布。只开放必要端口与能力:最小权限,限制 `CAP_*`。观测与治理指标:构建时长、镜像体积、拉取时延、启动时延。基线:设定体积与漏洞等级阈值,超出即阻断。供应链安全:记录构建来源与签名,追踪镜像 SBOM。结论通过多阶段构建与最小权限组合拳,既能显著缩减镜像体积,也能提升运行安全。将扫描与基线策略前移至 CI,是长期治理的关键。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复