聊聊如何创建Docker镜像

创建 Docker 镜像是容器化应用的核心步骤，以下是详细指南和最佳实践：

一、基础创建方法

1. 使用 Dockerfile（推荐方式）

# 示例：构建Nginx镜像
FROM ubuntu:22.04

# 元数据
LABEL maintainer="your-email@example.com"

# 安装依赖
RUN apt-get update && apt-get install -y nginx

# 复制本地文件到镜像
COPY index.html /var/www/html/

# 暴露端口
EXPOSE 80

# 启动命令
CMD ["nginx", "-g", "daemon off;"]

构建命令：

docker build -t my-nginx:latest .

2. 从现有容器创建（临时用途）

docker run -it ubuntu:22.04 bash
# 在容器内修改后
docker commit <container-id> my-custom-image

二、关键优化技巧

1. 多阶段构建（减少镜像体积）

# 第一阶段：构建环境
FROM golang:1.19 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp .

# 第二阶段：运行时环境
FROM alpine:latest
COPY --from=builder /app/myapp .
CMD ["./myapp"]

2. 层缓存优化

- 将高频变更的操作（如COPY）放在Dockerfile底部 - 合并RUN命令减少层数： dockerfile RUN apt-get update && apt-get install -y \ git \ curl \ && rm -rf /var/lib/apt/lists/*

三、高级功能

1. BuildKit 特性（需启用）

DOCKER_BUILDKIT=1 docker build --ssh default --no-cache .

2. 跨平台构建

docker buildx build --platform linux/arm64,linux/amd64 -t my-image:multiarch .

四、安全最佳实践

1. 非root用户运行

RUN groupadd -r appuser && useradd -r -g appuser appuser
USER appuser

2. 扫描漏洞

docker scan my-image:latest

3. 签名验证

docker trust sign my-image:latest

五、调试与验证

1. 检查镜像历史：

docker history my-image:latest

2. 交互式测试：

docker run -it --rm my-image:latest sh

3. 导出/导入镜像：

docker save my-image > my-image.tar
docker load < my-image.tar

六、常见问题解决

• 构建缓存失效：使用--no-cache参数
• 权限问题：在Dockerfile中正确设置chown
• 网络问题：构建时使用--network host或自定义DNS

通过以上方法，您可以高效创建安全、轻量的Docker镜像。建议始终使用Dockerfile实现可重复构建，并结合CI/CD管道自动化流程。