Golang Dockerfile的最佳实践

引言

对于dockerfile而言，何为完美? 我认为应该满足以下三点：

• 体积小
• 构建快
• 够安全

话说不说，直接上拿走可用的Dockerfile。

FROM golang:1.18-alpine3.16 AS builder

WORKDIR /build
RUN adduser -u 10001 -D app-runner

ENV GOPROXY https://goproxy.cn
COPY go.mod .
COPY go.sum .
RUN go mod download

COPY . .
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o httpserver .

FROM alpine:3.16 AS final

WORKDIR /app
COPY --from=builder /build/httpserver /app/
#COPY --from=builder /build/config /app/config
COPY --from=builder /etc/passwd /etc/passwd
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/

USER app-runner
ENTRYPOINT ["/app/httpserver"]

逐行拆解

首先，这个dockerfile分为builder和final两部分。

golang:1.18-alpine3.16golang:1.18

RUN adduser -u 10001 -D app-runner

app-runner-D

root

再下面的四行，

ENV GOPROXY https://goproxy.cn
COPY go.mod .
COPY go.sum .
RUN go mod download

go mod downloadgo.modgo.sum

builder的最后，就是把当前目录的文件拷过去，编译代码了。

COPY . .
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o httpserver .

alpine:3.16

接下来几行没啥说的，就是把构建结果、配置文件（有的话）和用户的相关文件拷过去。

下面的这步一定不要忘记了，

USER app-runner

没有它，container启动时就是用root用户启动了!!! 如果被攻击了，那黑客可是就有root权限了（不要问我为啥会被攻击）。

ENTRYPOINT

如果你程序的启动过程比较复杂，或者是要在启动时根据环境变量的值做不同的操作，那还是写个shell文件吧。