本文由作者手工编写,无 AI 参与。
【1】用小镜像
大部分情况下,基于 debian-slim 的镜像是比较推荐的,如果测试充分并且对镜像大小要求很严格,可以用 apline。
如果是 AI 强相关,老老实实用 GPU 厂商推荐的镜像。例如,英伟达推荐 ubuntu。
【2】secret 采用 build-kit 挂载到构建过程
docker build --secret id=foo,src=/path/to/file ......
切勿使用 COPY 之类的方法放到镜像,因为镜像分层的缘故,需要保密的文件会留在镜像的层中。
【3】难、苦的步骤下沉
假设构建过程中,某个步骤很困难或比较痛苦,则尽量把此步骤前移且放入基础镜像。
FROM debian:13.2# do_sth_difficult 所依赖的
RUN ...RUN do_sth_difficult# 假设构建出的镜像为 foo:1.0
之后构建其他:
FROM foo:1.0
【4】架设内网文件服务器
对于团队管理者,如果发现某个公网文件被团队的构建高频率需要,或者某个公网大文件经常出现在团队的 dockerfile 中,则把它们放到内网服务器。
倒不是为了给公网网站或网络出口减负,从内网下载可以让构建更轻松、更可靠。
【5】用 ADD 下载文件并验证
ADD --checksum=sha256:abc123... https://aaa.com/qwer.tar.gz /qwer.tar.gz
【6】在同一层中删掉下载使用之后不再需要的文件,wget,rm
RUN wget -O /bin/cfssl "xxxxx" && \chmod 0755 /bin/cfssl && \cfssl ... && \rm -f /bin/cfssl
这个例子中,使用 cfssl 做了某个事(如生成证书)之后就不再需要它,就可以在同一层中删掉它,节省不必要的空间。
【7】直接使用软件的具体版本,而不是用动态版本工具
nvm,bazelisk,gradle-wrapper 等软件可以通过项目配置动态下载软件的对应版本,这在本地开发很方便。但在容器环境中,由于每次启动是一个干净的环境,所以每次构建都要重新下载,反而麻烦,还增加了因为网络问题导致构建失败的可能性。
对于一个具体项目,项目需要的构建工具版本必然是已知的,所以直接在基础镜像中放置相应的版本即可。
FROM cr.abc.com/devbase/java17-maven363:1.0RUN mvn package ...
【8】巧用多阶段构建
对于多二进制项目,可以把基础镜像分叉。
FROM golang:1.25.8 AS builderRUN apt install ...FROM builder-base AS svc1
# build service 1FROM builder-base AS svc2
# build service 2
很多项目,构建所需的依赖明显多于运行,多阶段构建可以节省很多空间。
FROM cr.abc.com/devbase/jdk17-maven363:1.0 AS builderRUN mvn package ...FROM cr.abc.com/devbase/jre17:1.0COPY --from=builder /target/foo.jar /app/foo.jarCMD ["java", "-jar", "/app/foo.jar"]