美文网首页微服务
使用scratch构建最小化Go程序的docker image

使用scratch构建最小化Go程序的docker image

作者: wlchn | 来源:发表于2019-11-22 11:22 被阅读0次

    由于Golang编译之后的文件是二进制,而scratch是docker最基础的空image,所以可以使用scratch来构建Go程序的docker image,使得最终构建的image最小化.

    构建image过程分为两步:

      1. 在Go基础image中build.
      1. 将build好的二进制文件拷贝到scratch image中。

    无需cgo的程序

    对于无需cgo交叉编译的程序,使用scratch来作为最终运行的基础image非常合适。

    首先,选择合适版本的golang基础image来build,这里没有必要选择更小的golang alpine,build过程中pull一般会有缓存所以pull速度差别不大,此外alpine中没有git和ssl,我们在构建image过程中都有可能用到,况且alpine也不会影响最终image大小。

    FROM golang:1.13 AS builder

    禁掉cgo交叉编译,我们服务器一般为linux amd64,build二进制文件。

    RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -ldflags="-w -s" -o /bin/appmain main.go

    对于绝大多数go程序而言,是无需root来运行,根据docker best practice,使用non-root来运行程序能够带来更好的安全性,所以我们使用non-root用户来运行,创建一个appuser,之后再拷贝到scratch运行image中。(scratch是空image,所以在builder中创建user,再拷贝。)

    # 创建appuser
RUN groupadd -r appuser && useradd --no-log-init -r -g appuser appuser
...
# 拷贝appuser到scratch
COPY --from=builder /etc/passwd /etc/passwd
... 
# 选择appuser为默认程序运行用户
USER appuser

    多数程序可能会用到ssl,我们将builder中的crt拷贝一下即可。(如果builder是alpine,不能拷贝,需要在alpine中apk先预装一下。)

    COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/

    完整版Dockerfile

    FROM golang:1.13 AS builder
COPY . /app
WORKDIR /app
RUN groupadd -r appuser && useradd --no-log-init -r -g appuser appuser
RUN go mod download
RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -ldflags="-w -s" -o /bin/appmain main.go

FROM scratch
COPY --from=builder /etc/passwd /etc/passwd
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
COPY --from=builder /bin/appmain /bin/appmain
USER appuser
CMD [ "/bin/appmain" ]

    需要cgo的程序

    有些Go程序是需要cgo交叉编译的,例如ethereum. 对于需要cgo的程序,相对于scratch,更推荐使用alpine来作为基础image,原因是alpine中带有libc,并且体积也才2MB多。而scratch中没有,当然也可以在builder中ldd依赖并拷贝到scratch中。只是用alpine会更方便一些。

    在alpine中只要软链接一下就可以使用。

    RUN mkdir /lib64 && ln -s /lib/libc.musl-x86_64.so.1 /lib64/ld-linux-x86-64.so.2

    此外,创建non-root用户的步骤也没有必要在builder中进行了,可以直接在alpine中创建。

    RUN addgroup -S appuser && adduser -S -G appuser appuser

    完整版Dockerfile

    FROM golang:1.13 AS builder
COPY . /app
WORKDIR /app
RUN go mod download
RUN CGO_ENABLED=1 GOOS=linux GOARCH=amd64 go build -ldflags="-w -s" -o /bin/appmain main.go

FROM alpine:3.10
RUN mkdir /lib64 && ln -s /lib/libc.musl-x86_64.so.1 /lib64/ld-linux-x86-64.so.2
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
COPY --from=builder /bin/appmain /bin/appmain
RUN addgroup -S appuser && adduser -S -G appuser appuser
USER appuser
CMD [ "/bin/appmain" ]

    相关文章

      网友评论

        本文标题:使用scratch构建最小化Go程序的docker image

        本文链接:https://www.haomeiwen.com/subject/wxufwctx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        微服务

        关于我们|服务条款|联系我们|使用scratch构建最小化Go程序的docker image|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!