Docker 提供了一些出色的構建時功能和基本映像，我們可以用它們來實現輕量、安全和高效的應用程序構建。

本文會介紹為什么 Golang 可以很好地展示這些特性，因為 Golang 可以編譯為單個二進制文件（或一組二進制文件）。

這篇文章的示例所關注的焦點是極簡主義。盡管這些示例很基礎，但它們非常重要，你可以在這些概念基礎上為大型 Golang 項目引入更多最佳實踐，以提高安全性和效率。

我們將使用這個簡單的 main.go 來演示本文的概念：

package main import "fmt" func main() {  fmt.Println("Hello Cloudreach!") }

最少的層帶來效率最大化：最佳實踐

Docker 在 Dockerfile 文檔中一上來就強調：盡量減少層數是一個最佳實踐！這是一個重要的概念，必須從一開始就做好。

你很容易就能寫一個包含很多層的 Dockerfile——它的語法就有這個傾向——結果你不知不覺中就會寫出很多效率低下的內容。

最佳實踐是將構建的相關階段分組和鏈接在一起，例如下載依賴項、供應商文件夾集成或使用 RUN 命令設置構建環境等階段。

你還需要考慮分組的哪些部分是可以經常更改的，然后將它們分組到 Dockerfile 中盡可能低的層，同時把靜態構建依賴項、構建環境配置或應用程序資產放到 Dockerfile 中盡可能上層的位置上。

每一層，更具體地說是 Dockerfile 中以指令開頭的每一行，都經過哈希處理并建立在另一層之上，最后一個映像由“堆疊（stacked）”層構成。

由于 Dockerfile 的每一層都是從下一層繼承的，因此構建緩存提供了一種很好的機制，可以幫助你跳過已構建或靜態的內容，然后轉到你需要構建和重新哈希的部分！

盡量縮短構建時間是很重要的，因為高效的 CI/CD 系統每天都會運行這些構建很多次。當團隊規模逐漸擴大后，這可能意味著大量的構建工作，可能會需要很多 Jenkins worker，有時甚至需要很長時間才能集成開發人員的代碼！

Docker 有一些構建緩存功能，它們可以顯著節省構建時間。等待構建的時間越短，意味著集成和自動化測試的速度也就越快，也能提升 CI/CD 流程的速度，讓你的流程足以和團隊規模相匹配。

盡可能為應用程序安排單獨的非 root 用戶也是很重要的。你只需要在 linux adduser 命令中使用 RUN 指令，然后在 Dockerfile 中使用 USER 指令就可以使用這個用戶來運行二進制文件了。

下面是使用這些最佳實踐構造的一個最精簡的 Dockerfile main.go 示例，它只有一個基本的 main 函數，沒有外部依賴項：

FROM golang:alpine RUN mkdir /app  ADD . /app/ WORKDIR /app  RUN go build -o main . RUN adduser -S -D -H -h /app appuser USER appuser CMD ["./main"]

構建后，生成的映像大小為 378MB：

$  docker build -t hellocloudreachmain:1.0 . -f Dockerfile.single... (build output omitted)$  docker images | grep hellocloudreachmainhellocloudreachmain1.0d1c5090585bcLessthanasecondago378MB

盡可能使用基于 Alpine 的官方映像！它是基于 busybox 和 musl 構建的，最輕量級的 Linux 發行版之一。與較重的發行版相比，它的容器映像體積很小，這是一個輕松提升效率的好方法。

但我們還可以進一步簡化！這些官方映像構建（比如golang:alpine）都包含很多層，里面含一些安全組件，用來構建應用程序資產時很方便；但是如果我們的應用程序不需要這些層，那就不要把它們放進去！我們需要使用其他一些 Docker 構建功能，進一步縮小文件體積。

下一步：多階段

當需要在生產環境中運行應用程序時，我們需要讓容器的設計可以確保性能和安全性。我們還需要盡可能多的可移植性，以便輕松地移動容器，并使用 DockerSwarm 和 Kubernetes 之類的編排器對其進行大規模調度。

將映像推入和拉出注冊表所需的時間應盡量縮短。編寫用于生產的 Dockerfile 時，要記住的一個要點就是在最終運行時映像中實踐極簡主義。

如果運行的時候并不需要某樣東西，請不要把它放進去！

在開發環境中，有時需要一個“較重”的容器映像，也許是一個開發人員專屬的 Dockerfile，方便開發人員隨時扔進來一些工具，和容器一起進行調試等開發活動。也可能會附加或保留一兩個卷和活動容器交互。這些當然都是很常見的情況！

但是，隨著容器映像沿開發管線向上移動，一定要記得把這些東西都取出來。一條正規的安全軟件供應鏈會要求在管道中盡早構建最終映像，對映像簽名，并將經過正式簽名的映像推到生產環境的各個階段。

因此，你需要盡早在供應鏈中構建、驗證、集成和簽名這個最小化的映像；這是 Dockerfile 開發人員、QA 團隊和安全工程師必須熟悉的操作！換句話說，只構建一次，然后讓你的流程將生成的映像投入生產環境。

多階段構建是實現這一目標的一個好方法！多階段涉及的基本原理包括：調用一個臨時容器以簡化應用程序的構建，然后將構建的資產從這個空間復制到只有運行應用所需必要組件的容器映像中。拿之前的 Dockerfile 示例來說：

FROM golang:alpine as builder RUN mkdir /build  ADD . /build/ WORKDIR /build  RUN go build -o main . FROM alpine RUN adduser -S -D -H -h /app appuser USER appuser COPY --from=builder /build/main /app/ WORKDIR /app CMD ["./main"]

注意這個 Dockerfile 中的兩個 FROM 指令。我們將第一個標記為“builder”，使用它來構建應用程序。

然后，我們使用第二個 FROM，這一次是從基本的“alpine”（非常輕巧！）中提取的，并將我們構建的可執行文件從該環境復制到該新環境。

這就讓映像的體積比以前小了很多！另外，“builder”容器被緩存在 docker builder 上下文中，因此可以像前面的示例一樣利用構建緩存來提升速度！

$  docker build -t hellocloudreachmain:1.1 . -f Dockerfile.multi... (build output omitted)$  docker images | grep hellocloudreachmainhellocloudreachmain                1.0 d1c5090585bc  8 minutes ago 378MBhellocloudreachmain                1.1 ea737df5cc64 Less than a second ago    6.16MB

這個映像的大小是 6.16MB。相比 378MB 來說，體積減少的效果很明顯！

最小化整個運行環境……從頭開始構建！

實際上，我們在精簡之路上還可以走得更遠。Golang 有很多有趣的特性，其中之一是你可以編譯為單個二進制文件，并且在大多數情況下，你可以使用某些特殊的構建時參數將所有相關的庫靜態編譯進這個二進制文件。

這樣我們就能構建一個最小化的 Docker 容器，并減少額外的運行時開銷，以實現我們所追求的出色性能、可移植性和安全性！

如果我們可以將 Golang 應用程序編譯為單個二進制文件，并將它靜態鏈接到依賴項上，就可以使用一個 0KB 容器來運行這個應用程序。這是 Docker 提供的一個特殊的基礎映像，稱為“scratch”。

在我們的 Docker 培訓課程中總會遇到一個問題：所有容器內部都裝有操作系統嗎？答案是否定的，就是因為有這種特殊類型！

這個映像內部沒有關聯受支持的操作系統環境。它有一些特殊要求，最重要的是，主機的架構必須支持編譯好的二進制文件的架構（x86、x64 等），然后，你實際得到的容器除了隔離功能和 Docker 容器的那些優秀特性外，不向應用程序提供任何功能或支持！盡量使用 scratch 作為基礎映像，將為你的應用程序容器提供極高的簡約性和安全性水平。

FROM golang:alpine as builder RUN mkdir /build  ADD . /build/ WORKDIR /build  RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -ldflags '-extldflags "-static"' -o main . FROM scratch COPY --from=builder /build/main /app/ WORKDIR /app CMD ["./main"]

在第 6 行，FROM scratch 告訴 Docker 從頭開始，就像我們在上一個多階段示例中看到的那樣，但這次使用的是 0KB 臨時映像。第一個階段與之前類似，但這次我們在構建階段使用一些編譯時參數來指示 go 編譯器將運行時庫靜態鏈接到二進制文件本身：

RUNCGO_ENABLED=0GOOS=linuxgobuild-a-installsuffixcgo-ldflags'-extldflags"-static"'-omain.

在此示例中，最終的 Docker 映像只會包含這一個可執行文件，而無需使用容器操作系統。

$ docker build -t hellocloudreachmain:1.2 . -f Dockerfile.scratch ... (build output omitted) $ docker images | grep hellocloudreachmain hellocloudreachmain 1.0 d1c5090585bc 8 minutes ago 378MB hellocloudreachmain 1.1 ea737df5cc64 4 minutes ago 6.16MB hellocloudreachmain 1.2 bda5c99404ae 33 seconds ago 2.01MB

太棒了，生成的容器大小只有 2.01MB！與最初的 378MB 映像相比，這是一個巨大的進步！

那么這些真的有用嗎？

$  docker run -it hellocloudreachmain:1.0 Hello Cloudreach! $  docker run -it hellocloudreachmain:1.1 Hello Cloudreach! $  docker run -it hellocloudreachmain:1.2 Hello Cloudreach!

小結

我們用一個基本的 Dockerfile 舉例，然后一步步縮減最終映像的體積。通過這個簡單的練習，我們很容易看到在構建 Golang 應用程序時，有很多選擇可以在 Docker 構建中實踐極簡主義。

我們有很多辦法可以利用這種語言的特性，及其在編譯期間提供給開發人員的特性來減小容器的體積。由于 Golang 可以編譯為靜態鏈接的可執行文件，因此我們能利用這類特性為運行時剝離所有不必要的組件。

更復雜的應用程序和構建可能無法遵循和上面完全相同的設計模式，但是這些原理可以應用在大多數 Golang Dockerfile 上！只需花一些時間來確保自己使用行業最佳實踐正確構建 Dockerfile，就能成功地在容器中構建快速、安全和可擴展的應用程序！