容器镜像优化与多阶段构建（Distroless、Layer 缓存与安全）

容器镜像优化与多阶段构建（Distroless、Layer 缓存与安全）概述小而安全的镜像有助于部署与运行时安全。多阶段构建可将构建依赖与运行时解耦。关键实践与参数多阶段：在 `builder` 阶段编译打包，将产物复制到 `runtime` 阶段。Distroless：移除包管理器与 shell，减少攻击面；需结合调试策略。层缓存：固定顺序与依赖锁定，减少缓存失效；使用 `.dockerignore` 控制上下文。安全：生成 SBOM 并扫描漏洞；签名与验证（cosign）。验证方法比对镜像体积与启动时间；扫描漏洞并验证签名。观察层缓存命中率与构建耗时变化。运行时最小权限与只读文件系统演练。注意事项Distroless 调试需准备旁路（如临时带 shell 的诊断镜像）。谨慎添加根证书与时区文件；控制镜像漂移。产物复制需包含运行时必需文件与权限设置。