Docker 镜像管理

概述

镜像构建、多阶段构建、镜像优化等技能。

镜像操作

查看镜像

# 列出镜像
docker images
docker images -a                    # 包含中间层
docker images --format "table {{.Repository}}\t{{.Tag}}\t{{.Size}}"

# 镜像详情
docker inspect image_name
docker history image_name           # 构建历史

# 搜索镜像
docker search nginx

拉取与推送

# 拉取镜像
docker pull nginx
docker pull nginx:1.20
docker pull registry.example.com/myapp:latest

# 推送镜像
docker push myrepo/myimage:tag

# 登录仓库
docker login
docker login registry.example.com
docker logout

镜像标签

# 添加标签
docker tag source_image:tag target_image:tag
docker tag myapp:latest myrepo/myapp:v1.0

# 删除镜像
docker rmi image_name
docker rmi -f image_name            # 强制删除
docker image prune                  # 删除悬空镜像
docker image prune -a               # 删除未使用镜像

导入导出

# 导出镜像
docker save -o myimage.tar myimage:tag
docker save myimage:tag | gzip > myimage.tar.gz

# 导入镜像
docker load -i myimage.tar
docker load < myimage.tar.gz

镜像构建

基础构建

# 构建镜像
docker build -t myimage:tag .
docker build -t myimage:tag -f Dockerfile.prod .

# 指定构建参数
docker build --build-arg VERSION=1.0 -t myimage:tag .

# 不使用缓存
docker build --no-cache -t myimage:tag .

# 指定目标阶段
docker build --target builder -t myimage:builder .

Dockerfile 基础

# 基础镜像
FROM node:18-alpine

# 元数据
LABEL maintainer="your@email.com"
LABEL version="1.0"

# 设置工作目录
WORKDIR /app

# 复制文件
COPY package*.json ./
COPY . .

# 运行命令
RUN npm install

# 环境变量
ENV NODE_ENV=production
ENV PORT=3000

# 暴露端口
EXPOSE 3000

# 启动命令
CMD ["node", "app.js"]

多阶段构建

# 构建阶段
FROM node:18-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build

# 生产阶段
FROM node:18-alpine AS production
WORKDIR /app
COPY --from=builder /app/dist ./dist
COPY --from=builder /app/node_modules ./node_modules
EXPOSE 3000
CMD ["node", "dist/main.js"]

Go 应用多阶段构建

# 构建阶段
FROM golang:1.21-alpine AS builder
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -o main .

# 生产阶段
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=builder /app/main .
EXPOSE 8080
CMD ["./main"]

镜像优化

减小镜像体积

# 1. 使用精简基础镜像
FROM alpine:latest
FROM node:18-alpine
FROM python:3.11-slim

# 2. 合并 RUN 命令
RUN apt-get update && \
    apt-get install -y --no-install-recommends \
        package1 \
        package2 && \
    rm -rf /var/lib/apt/lists/*

# 3. 使用 .dockerignore
# .dockerignore 文件
node_modules
.git
*.md
Dockerfile
.dockerignore

# 4. 多阶段构建只复制必要文件
COPY --from=builder /app/dist ./dist

构建缓存优化

# 先复制依赖文件，利用缓存
COPY package*.json ./
RUN npm ci

# 再复制源代码
COPY . .
RUN npm run build

安全最佳实践

# 1. 使用非 root 用户
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser

# 2. 固定版本
FROM node:18.17.0-alpine3.18

# 3. 扫描漏洞
# docker scan myimage:tag

# 4. 最小权限
RUN chmod 500 /app/main

私有仓库

搭建私有仓库

# 运行 Registry
docker run -d -p 5000:5000 --name registry registry:2

# 推送到私有仓库
docker tag myimage:tag localhost:5000/myimage:tag
docker push localhost:5000/myimage:tag

# 拉取
docker pull localhost:5000/myimage:tag

配置认证

# 创建密码文件
htpasswd -Bc /auth/htpasswd admin

# 运行带认证的 Registry
docker run -d -p 5000:5000 \
  -v /auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
  registry:2

常见场景

场景 1：分析镜像层

# 查看镜像层
docker history myimage:tag --no-trunc

# 使用 dive 分析
docker run --rm -it \
  -v /var/run/docker.sock:/var/run/docker.sock \
  wagoodman/dive:latest myimage:tag

场景 2：清理磁盘空间

# 查看磁盘使用
docker system df
docker system df -v

# 清理未使用资源
docker system prune              # 清理悬空资源
docker system prune -a           # 清理所有未使用资源
docker system prune --volumes    # 包括卷

场景 3：镜像漏洞扫描

# Docker Scout
docker scout cves myimage:tag

# Trivy
docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  aquasec/trivy image myimage:tag

故障排查

问题	排查方法
构建失败	检查 Dockerfile 语法、网络
镜像过大	使用多阶段构建、精简基础镜像
拉取失败	检查网络、认证、镜像名
缓存失效	检查 COPY 顺序、文件变更