8 个你不能不知道的 Docker 最佳实践，让你的容器游刃有余！

Docker是最流行的容器化软件，但并非每个人都有效地使用它。如果你不遵循Docker的最佳实践，可能会使你的应用程序容易受到安全问题或性能问题的威胁。

以下是一些你可以采纳的最佳实践，以充分利用Docker的功能。这些措施可以提高安全性，并确保你创建的Docker文件易于维护。

1、使用官方Docker镜像

在容器化你的应用程序时，你必须使用Docker镜像。你可以使用自定义配置构建一个镜像，或者使用Docker的官方镜像。
构建自己的镜像需要你自行处理所有配置。例如，要构建一个用于node.js应用程序的镜像，你必须下载node.js及其依赖项。这个过程很耗时，可能无法得到所有正确的配置。

Docker 建议你使用官方的 node.js 镜像，它包含了所有正确的依赖关系。Docker 镜像具有更好的安全性措施，体积小，并经过各种环境的测试。你可以在 Docker 的官方镜像页面上找到官方镜像。

2、使用特定版本的 Docker 镜像

通常，当你拉取官方镜像时，它是带有最新标签的版本，代表该镜像的最新更新版本。每次你从该镜像构建一个容器时，都会得到上一个容器的不同版本。
使用不同版本的Docker镜像构建可能会导致你的应用程序出现不可预测的行为。这些版本可能会与其他依赖关系冲突，最终导致应用程序失败。

Docker建议你拉取和构建特定版本的镜像。官方镜像还有文档，涵盖了最常见的用例。

例如，不要使用docker pull alpine，而应该使用docker pull alpine:3.18.3。Docker将拉取该特定版本。然后，你可以在连续的构建中使用它，减少应用程序中的错误。你可以在官方Docker镜像页面上找到各个版本的镜像，位于支持的标签和相应的Dockerfile链接下。

linuxmi@linuxmi ~/www.linuxmi.com
 % sudo docker pull alpine:3.18.3

3、扫描镜像以查找安全漏洞

你如何确定想要构建的镜像没有安全漏洞呢？通过扫描它。你可以使用docker scan命令扫描Docker镜像。语法如下：

docker scan [IMAGE]

你必须首先登录docker来扫描镜像。

docker login

然后，扫描你想要检查的特定镜像：

docker scan ubuntu:latest

一个名为Synk的工具将扫描该镜像，并根据漏洞的严重性列出任何漏洞。你可以看到漏洞的类型以及与之相关的信息链接，包括如何修复。通过扫描，你可以判断该镜像是否足够安全，适用于你的应用程序。

4、使用小型的Docker镜像

当你拉取一个Docker镜像时，它会包含所有的系统工具。这会增加镜像的大小，并包括你不需要的工具。
大型的Docker镜像占用存储空间，可能会减慢容器的运行速度。它们也更容易存在安全漏洞的可能性。

你可以使用Alpine镜像来减小Docker镜像的大小。Alpine镜像非常轻量级，只包含必要的工具。它们减少了存储空间，使你的应用程序运行更快、更高效。

你会在Docker的大多数官方镜像中找到Alpine版本。

5、优化缓存镜像层

Dockerfile中的每个命令代表镜像上的一个层。这些层具有不同的实用工具，并执行各种功能。如果你查看Docker Hub上的官方镜像，你将看到用于创建它们的指令。
Dockerfile包括创建镜像所需的一切。这也是为什么许多开发人员喜欢Docker而不是虚拟机的原因之一。

当你基于一个镜像构建你的应用程序时，你会向镜像添加更多的层。Docker从上到下按顺序运行Dockerfile中的指令，如果一个层发生更改，Docker必须重新构建后续的层。

最佳实践是将Dockerfile中的指令从最不经常更改的文件排列到最经常更改的文件。不经常更改的指令，比如安装，可以放在文件的顶部。

当你更改一个文件时，Docker会从更改的文件开始构建，并缓存在其上面的未更改的文件。因此，进程运行得更快。

6、如何排列Dockerfile中的指令

看看上面的图片中示例。如果应用程序文件发生了变化，Docker会从那里开始构建；它不必重新安装npm包。

如果你从该镜像构建，那么该过程将比重新构建所有其他层要快。缓存还加快了从Docker Hub拉取和推送镜像的速度。

7、使用.dockerignore文件

在使用Dockerfile构建镜像时，您可能希望保持某些信息的私密性。一些文件和文件夹可能是项目的一部分，但您不希望将它们包含在构建过程中。
使用.dockerignore文件可以显著减小镜像的大小。这是因为构建过程只包括必要的文件。它还有助于保持文件的私密性，避免暴露秘密密钥或密码。

.dockerignore文件是一个您在与Dockerfile相同的文件夹中创建的文件。它是一个文本文件，类似于.gitignore文件，其中包含您不希望包含在构建过程中的任何文件的名称。

8、使用最低特权用户原则

默认情况下，Docker使用root用户作为管理权限来运行命令，但这是不良实践。如果其中一个容器存在漏洞，黑客可以访问Docker主机。
为了避免这种情况，创建一个专用用户和用户组。您可以为该用户组设置所需的权限，以保护敏感信息。如果用户受到威胁，您可以删除他们，而不会暴露整个项目。

一些基本镜像中已经创建了伪用户。您可以使用这些已安装的用户，而不是root用户的权限。

为什么应采纳 Docker 的最佳实践

最佳实践是减少漏洞并编写更干净代码的好方法。对于您使用的每个Docker功能，都可以应用许多最佳实践。

一个组织良好的项目使与其他编排工具（如Kubernetes）的同步更加容易。您可以从本文中概述的实践开始，随着学习Docker的过程，逐渐采用更多的实践。

The post 8 个你不能不知道的 Docker 最佳实践，让你的容器游刃有余！ first appeared on Linux迷.