手把手教你写一个完美的Golang Dockerfile

对于dockerfile而言，何为完美? 我认为应该满足以下三点：

• 体积小
• 构建快
• 够安全

话说不说，直接上拿走可用的Dockerfile。

FROM golang:1.13.5-alpine3.10 AS builder

WORKDIR /build
RUN adduser -u 10001 -D app-runner

ENV GOPROXY https://goproxy.cn
COPY go.mod .
COPY go.sum .
RUN go mod download

COPY . .
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o your-application .

FROM alpine:3.10 AS final

WORKDIR /app
COPY --from=builder /build/your-applicatio /app/
#COPY --from=builder /build/config /app/config
COPY --from=builder /etc/passwd /etc/passwd
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/

USER app-runner
ENTRYPOINT ["/app/fangs-backend"]
复制代码

逐行拆解

首先，这个dockerfile分为builder和final两部分。

builder选择了 golang:1.13.5-alpine3.10 作为编译的基础镜像，相比于 golang:1.13 , 一方面是因为它体积更小，另一方面是我发现 golang:1.13 的编译结果，在 alpine:3.10 中会报 not found 的错误，虽说有人提供了其它的 解决方案 ，但是能直接避免，为啥不避免呢。

RUN adduser -u 10001 -D app-runner
复制代码

接着是创建了一个 app-runner 的用户, -D 表示无密码。

此用户的信息是是需要拷到final中，作为应用程序的启动用户。这是为了避免使用container中的默认用户 root ，那可是有安全漏洞的，详细解释，可以参考这篇medium上的文章 Processes In Containers Should Not Run As Root

再下面的四行，

ENV GOPROXY https://goproxy.cn
COPY go.mod .
COPY go.sum .
RUN go mod download
复制代码

是配置了国内的代理，安装依赖包了。这里用 go mod download 的好处是下次构建镜像文件时，当 go.mod 和 go.sum 没有改变时，它是有缓存的，可以避免重复下载依赖包，加快构建。

builder的最后，就是把当前目录的文件拷过去，编译代码了。

COPY . .
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -a -o your-application .
复制代码

final选择了 alpine:3.10 ,一方面是体积小，只有5m；另一方面也是和构建镜像的alpine版本保持一致。

接下来几行没啥说的，就是把构建结果、配置文件（ 有的话 ）和用户的相关文件拷过去。

下面的这步一定不要忘记了，

USER app-runner
复制代码

没有它，container启动时就是用root用户启动了!!! 如果被攻击了，那黑客可是就有root权限了（ 不要问我为啥会被攻击 ）。

最后，设置一个 ENTRYPOINT ，完事!

如果你程序的启动过程比较复杂，或者是要在启动时根据环境变量的值做不同的操作，那还是写个 shell 文件吧。