Docker 多阶段构建

Docker 多阶段构建是一种优化镜像大小和安全性的技术，允许在单个 Dockerfile 中定义多个构建阶段，每个阶段独立运行，最终仅保留所需文件。以下是详细讲解：

---

1. 核心概念

• 多阶段分离：将构建过程分为多个阶段（如编译、测试、打包），每个阶段使用不同的基础镜像。
• 选择性复制：仅将必要文件（如编译后的二进制文件）从一个阶段复制到后续阶段，丢弃中间依赖（如编译器、测试工具）。
• 最终镜像精简：仅包含运行时必需的组件，减少体积和潜在攻击面。

---

2. 实现步骤

Dockerfile 示例

# 第一阶段：构建应用程序（命名为 builder）
FROM golang:1.18 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp

# 第二阶段：运行环境
FROM alpine:latest
WORKDIR /root/
COPY --from=builder /app/myapp .  # 从 builder 阶段复制文件
CMD ["./myapp"]

阶段解析

1. 构建阶段（builder）：
   • 使用 golang 镜像安装依赖、编译代码。
   • 生成可执行文件 myapp。
2. 运行阶段：
   • 使用轻量级 alpine 镜像。
   • 通过 COPY --from=builder 复制 myapp，忽略编译环境的冗余内容。

---

3. 核心优势

• 减小镜像体积：例如，Go 编译环境约 800MB，而 Alpine 仅 5MB，最终镜像仅增加二进制文件大小。
• 提升安全性：去除不必要的工具（如编译器），降低漏洞风险。
• 优化构建缓存：未修改的阶段可复用缓存，加速构建。

---

4. 适用场景

• 编译型语言：如 Go、Rust、C++，分离编译和运行环境。
• 前端应用：使用 Node.js 构建后，将静态文件复制到 Nginx 镜像。

  FROM node:14 AS build
  WORKDIR /app
  COPY package*.json ./
  RUN npm install
  COPY . .
  RUN npm run build
  
  FROM nginx:alpine
  COPY --from=build /app/dist /usr/share/nginx/html

• 测试隔离：在独立阶段运行测试，确保通过后才进入生产阶段。

---

5. 注意事项

• Docker 版本：需 17.05 及以上。
• 文件路径：确保 COPY --from 的源路径正确。
• 权限管理：跨阶段复制时可能需要 chmod 调整权限。
• 多阶段命名：使用 AS <name> 定义阶段名称，便于引用。

---

6. 高级用法

• 多阶段复用：可从任意阶段复制文件，如：

  COPY --from=stage1 /path/file .
  COPY --from=stage2 /path/file .

• 外部镜像作为阶段：直接复制其他镜像中的文件：

  COPY --from=nginx:latest /etc/nginx/nginx.conf ./nginx.conf

---

总结

多阶段构建通过分离构建与运行环境，显著优化 Docker 镜像，是生产环境的最佳实践。掌握其用法可提升部署效率，保障应用安全。