容器运行权限
- 避免容器以 root 用户身份运行：
  - 默认情况下，Docker 容器是以 root 用户身份运行的。
  - 如果容器内的应用程序被攻破，攻击者将拥有容器内的 root 权限，可能对主机造成威胁。
  - 在 Dockerfile 中使用 USER 指令，将容器默认用户设置为非特权用户，例如：
```
FROM ubuntu:latest
RUN groupadd -r appgroup && useradd -r -g appgroup appuser
USER appuser
```
- 以非特权用户身份运行：
  - 可以在运行容器时使用 --user 标志指定非特权用户：
```
docker run --user 1000:1000 myimage
```
  - 或者在 Docker Compose 文件中指定用户：
```
version: '3'
services:
  app:
    image: myimage
    user: "1000:1000"
```
Docker 守护进程权限
- 确保只有可信用户能访问 Docker 守护进程：
  - Docker 守护进程默认以 root 用户身份运行，具有较高的系统权限。
  - 默认情况下，Docker 守护进程监听 Unix 套接字 /var/run/docker.sock，只有 docker 组的成员可以访问。
  - 使用 chmod 或 chown 确保 /var/run/docker.sock 只允许可信用户访问：
```
sudo chown root:docker /var/run/docker.sock
sudo chmod 660 /var/run/docker.sock
```
  - 将可信用户添加到 docker 组：
```
sudo usermod -aG docker trusted_user
```
- 限制 Docker 守护进程的网络访问权限：
  - 默认情况下，Docker 守护进程不监听 TCP 套接字。
  - 如果需要通过网络远程访问 Docker 守护进程，应开启 TLS 并确保只接受来自可信客户端的连接。

2、网络安全

防火墙
- 限制 Docker 守护进程的网络访问：
  - 使用防火墙（如 iptables 或 firewalld）确保 Docker 守护进程仅接受来自可信主机的连接：
```
iptables -A INPUT -p tcp --dport 2375 -s TRUSTED_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 2375 -j DROP
```
- 隔离容器网络：
  - 使用防火墙规则隔离不同容器之间的网络通信，例如：
```
iptables -A FORWARD -s 172.17.0.0/16 -d 172.18.0.0/16 -j DROP
```
Docker 网络模型
- 合理选择网络模型：
  - bridge 网络：适用于单主机上的容器通信，默认启用 NAT 转发。
  - host 网络：容器与主机共享网络命名空间，通信性能最佳，但存在安全风险。
  - overlay 网络：适用于多主机集群，提供跨主机的容器通信。
  - macvlan 网络：直接为容器分配主机网络中的 MAC 地址和 IP 地址，适用于需要直接访问局域网的容器。
- 配置网络策略：
  - 使用网络策略（如 Kubernetes NetworkPolicy）控制不同容器之间的网络访问。
  - 使用防火墙规则限制容器网络的入站和出站流量。

3、镜像安全

可信镜像
- 使用官方或可信来源的镜像：
  - 官方镜像通常经过严格审核，优先选择官方镜像或来自可信组织的镜像。
  - Docker Hub 提供了官方镜像的认证标志（如官方或受信任的发布者）。
- 避免使用 latest 标签：
  - latest 标签指向最新版本的镜像，可能引入未知风险。
  - 明确指定镜像版本，例如：
```
docker run myimage:1.0.0
```
定期扫描
- 使用漏洞扫描工具：
  - 使用工具（如 Clair、Trivy、Anchore）定期扫描镜像中的漏洞。
  - 在 CI/CD 流程中集成漏洞扫描工具，确保每次构建都进行安全检查。
- 持续监控新漏洞：
  - 持续关注镜像所依赖的软件包的漏洞公告，及时更新镜像。

4、主机安全

Docker 守护进程隔离
- 将 Docker 守护进程与主节点隔离：
  - 在生产环境中，将 Docker 守护进程与主节点隔离，减少潜在攻击面。
  - 使用专用虚拟机或裸金属服务器作为 Docker 守护进程的运行环境。
安全配置审计
- 定期进行配置审计：
  - 使用工具（如 Docker Bench for Security）定期审计 Docker 守护进程的安全配置。
  - 审查 Docker 守护进程和容器的配置文件，确保关键设置符合最佳实践。

5、资源限制

内存限制

使用 --memory 限制容器内存使用：

限制容器的最大内存使用量，例如：
```
docker run --memory 500m myimage
```

在 Docker Compose 文件中指定内存限制：


version: '3'
services:
  app:
    image: myimage
    deploy:
      resources:
        limits:
          memory: 500M

CPU 限制

使用 --cpus 或 --cpu-shares 限制容器 CPU 使用：

限制容器的 CPU 使用量，例如：
```
docker run --cpus 1.5 myimage
```
或者使用 --cpu-shares 指定相对权重：
```
docker run --cpu-shares 512 myimage
```

在 Docker Compose 文件中指定 CPU 限制：


version: '3'
services:
  app:
    image: myimage
    deploy:
      resources:
        limits:
          cpus: '1.5'

磁盘 IO 限制
- 使用 --device-read-bps 和 --device-write-bps 限制读取和写入速率：
  - 限制容器对块设备的读取和写入速率，例如：
```
docker run --device-read-bps /dev/sda:1mb --device-write-bps /dev/sda:1mb myimage
```
文件句柄数量限制
- 使用 --ulimit 设置文件句柄数量限制：
  - 限制容器中的文件句柄数量，例如：
```
docker run --ulimit nofile=1024:2048 myimage
```

二、Docker 性能最佳实践

1、分层结构优化

减少 Dockerfile 中的图层数量，合并不必要的 RUN 命令
- 在 Docker 中，每个指令（如 RUN、COPY、ADD）都会创建一个新的镜像层。过多的层次会导致镜像体积过大、构建时间变长。
- 合并相关的 RUN 命令，可以减少不必要的层次。例如，将多个 RUN 命令合并为一个：
  优化前：
```
FROM ubuntu:latest
RUN apt-get update
RUN apt-get install -y python python-pip
```
  优化后：
```
FROM ubuntu:latest
RUN apt-get update && \
    apt-get install -y python python-pip
```
- 在确保构建过程中不会引入额外问题的情况下，尽量合并相关的指令来减少层数。
使用 Docker 缓存（--cache-from）构建镜像
- Docker 会使用缓存加速镜像构建，但在某些情况下，缓存可能失效，导致完全重新构建镜像。
- 使用 --cache-from 参数可以从现有镜像中恢复缓存层，加速构建：
```
docker build --cache-from=myimage:previous -t myimage:latest .
```
- 在多阶段构建中，--cache-from 可以帮助不同阶段共享缓存，提高构建效率。

2、多阶段构建

多阶段构建减少最终镜像大小
- 多阶段构建可以将构建和生产环境分离，确保生产镜像中只包含必要的文件。
- 通过引入多个 FROM 指令，实现构建环境和生产环境的分离：
```
# 构建阶段
FROM golang:1.19 as builder
WORKDIR /app
COPY . .
RUN go build -o myapp
 
# 生产阶段
FROM alpine:latest
WORKDIR /app
COPY --from=builder /app/myapp .
CMD ["./myapp"]
```
- 通过这种方法，最终的生产镜像仅包含编译后的二进制文件和必要的依赖项，减少了镜像大小。

3、卷的使用

使用卷保持数据持久化
- Docker 容器的文件系统是临时性的，容器停止或删除后，内部数据将丢失。
- 使用 Docker 卷，可以将数据存储在主机上，从而实现数据持久化：
```
docker run -v /host/data:/container/data myimage
```
- 在 Docker Compose 中使用卷：
```
version: '3'
services:
  app:
    image: myimage
    volumes:
      - /host/data:/container/data
```
避免频繁修改容器内部文件系统
- Docker 容器的文件系统性能相对较低，频繁修改文件系统会影响容器性能。
- 使用卷将数据存储到主机上可以提高性能，并减少容器内部文件系统的修改：
```
docker run -v /host/data:/container/data myimage
```
- 使用 tmpfs 卷在内存中存储临时数据，可以进一步提高性能：
```
docker run --tmpfs /container/tmpfs myimage
```

4、镜像大小优化

选择合适的基础镜像
- 使用精简的基础镜像可以显著减少最终镜像的大小。
- 常见的精简镜像包括：
  - Alpine：约 5MB 的精简 Linux 发行版。
  - BusyBox：一个小型的 Unix 工具集。
- 例如，将基础镜像从 ubuntu:latest 更改为 alpine:latest：
  优化前：
```
FROM ubuntu:latest
RUN apt-get update && apt-get install -y python
```
  优化后：
```
FROM alpine:latest
RUN apk --no-cache add python
```
清理构建依赖
- 构建过程中的依赖可能会占用大量空间，在最终镜像中应尽可能清理。
- 在 Dockerfile 中使用多阶段构建，或在单阶段构建中清理不必要的文件：
  单阶段构建清理方式：
```
FROM ubuntu:latest
RUN apt-get update && \
    apt-get install -y build-essential && \
    make && \
    apt-get remove -y build-essential && \
    apt-get autoremove -y && \
    rm -rf /var/lib/apt/lists/*
```
多阶段构建
- 多阶段构建不仅可以减少最终镜像大小，还能加速构建过程。
- 通过在构建阶段安装构建依赖并编译程序，最终镜像只包含编译后的二进制文件。
压缩镜像
- 使用 docker-slim 等工具可以进一步压缩镜像大小：
```
docker-slim build myimage
```

5、Docker 编排性能优化

资源限制

在编排工具中设置资源限制，确保容器不会滥用集群资源：

Docker Compose：


version: '3'
services:
  app:
    image: myimage
    deploy:
      resources:
        limits:
          cpus: '1.0'
          memory: '500M'

Kubernetes：


apiVersion: v1
kind: Pod
metadata:
  name: app
spec:
  containers:
  - name: app
    image: myimage
    resources:
      limits:
        memory: "500Mi"
        cpu: "1"

副本数
- 在编排工具中合理设置副本数，确保应用具有足够的可用性和性能。
水平扩展
- 使用负载均衡和水平扩展技术提高应用程序的可用性和性能，例如：
  - Docker Swarm 中的服务扩展。
  - Kubernetes 中的副本集和自动扩展器。

Docker 的性能优化涉及多个方面，包括分层结构、镜像大小、卷的使用、多阶段构建以及编排性能优化。在实际开发和生产中，合理应用这些技术和策略可以显著提高 Docker 容器的性能和效率。

三、Docker 开发流程

1、Dockerfile 最佳实践

保持 Dockerfile 简洁，注释清晰，并遵循官方最佳实践指南

使用官方基础镜像：官方基础镜像通常经过严格的测试和优化，选择合适的官方镜像可以提高质量并减少潜在问题。
```
FROM python:3.9-slim
```
明确标签和版本：避免使用 latest 标签，尽量指定明确的镜像版本。
```
FROM node:16.14.0
```

合并相关命令，减少层数：合并 RUN 指令，减少镜像层数。
优化前：


FROM ubuntu:latest
RUN apt-get update
RUN apt-get install -y python3 python3-pip

优化后：


FROM ubuntu:latest
RUN apt-get update && \
    apt-get install -y python3 python3-pip

最小化构建依赖：尽量只安装构建过程中需要的依赖，并在构建完成后进行清理。


RUN apt-get update && \
    apt-get install -y --no-install-recommends build-essential && \
    make && \
    apt-get purge -y --auto-remove build-essential && \
    rm -rf /var/lib/apt/lists/*

多阶段构建：使用多阶段构建确保最终镜像只包含必要文件。


# 构建阶段
FROM golang:1.19 AS builder
WORKDIR /app
COPY . .
RUN go build -o main
 
# 生产阶段
FROM alpine:latest
WORKDIR /app
COPY --from=builder /app/main .
CMD ["./main"]

注释清晰：为关键步骤添加注释，方便他人理解和维护。


# 使用 Python 官方精简版镜像
FROM python:3.9-slim
 
# 设置工作目录
WORKDIR /app
 
# 复制应用程序代码
COPY . /app
 
# 安装依赖
RUN pip install --no-cache-dir -r requirements.txt
 
# 启动应用
CMD ["python", "app.py"]

避免使用 latest 标签，尽量指定明确的版本
- 避免使用 latest 标签，因为它可能指向不同的版本，导致不一致的行为。
- 为基础镜像和依赖都指定明确的版本：
```
FROM node:16.14.0
```

2、持续集成

将 Docker 镜像构建纳入持续集成流程，确保镜像构建自动化

集成工具：使用 Jenkins、GitLab CI/CD、GitHub Actions 或其他 CI/CD 工具自动化 Docker 镜像的构建和测试。

示例：GitHub Actions


name: Build and Push Docker Image
 
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]
 
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
 
      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v1
 
      - name: Cache Docker layers
        uses: actions/cache@v2
        with:
          path: ~/.docker
          key: ${{ runner.os }}-docker-${{ hashFiles('**/Dockerfile') }}
          restore-keys: |
            ${{ runner.os }}-docker
 
      - name: Log in to Docker Hub
        uses: docker/login-action@v1
        with:
          username: ${{ secrets.DOCKER_HUB_USERNAME }}
          password: ${{ secrets.DOCKER_HUB_TOKEN }}
 
      - name: Build and push Docker image
        uses: docker/build-push-action@v2
        with:
          push: true
          tags: myusername/myimage:latest

创建 .github/workflows/docker-build.yml 文件，并添加以下内容：

示例：GitLab CI/CD


image: docker:latest
 
services:
  - docker:dind
 
stages:
  - build
  - test
  - deploy
 
variables:
  DOCKER_DRIVER: overlay2
 
build:
  stage: build
  script:
    - docker build -t myusername/myimage:latest .
 
test:
  stage: test
  script:
    - docker run --rm myusername/myimage:latest pytest
 
deploy:
  stage: deploy
  script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
    - docker push myusername/myimage:latest

在项目根目录中创建 .gitlab-ci.yml 文件，并添加以下内容：

3、版本管理

定期更新 Docker 版本
```
docker --version
sudo apt-get update && sudo apt-get install -y docker-ce docker-ce-cli containerd.io
```
- 确保使用最新的稳定版本，可以获得最新的功能和性能改进，并减少安全漏洞。
- 使用以下命令检查和更新 Docker 版本：
关注官方的安全公告
- 关注 Docker 官方发布的安全公告，及时修复漏洞和更新补丁。
- 官方安全公告地址：
  Docker Security Advisories

四、社区资源

1、Docker Hub

Docker Hub 是 Docker 官方的镜像仓库，提供了大量的官方镜像和社区镜像。
使用 Docker Hub 可以方便地获取和共享镜像，并从中学习最佳实践。
官方地址：Docker Hub

2、Docker 官方文档

Docker 官方文档详细介绍了 Docker 的安装、配置和使用方法，以及最佳实践和安全指南。
官方地址：Docker Documentation

3、Docker 论坛

Docker 官方论坛是一个活跃的社区，用户可以在其中提问、分享经验和获取支持。
官方地址：Docker Forums

4、Docker GitHub 仓库

Docker 在 GitHub 上拥有多个开源项目仓库，用户可以通过提交问题、贡献代码和阅读源代码来获取最佳实践和支持。
官方地址：Docker GitHub

通过遵循 Dockerfile 最佳实践、将 Docker 镜像构建纳入持续集成流程、定期更新 Docker 版本、利用社区资源等手段，可以确保 Docker 开发流程的高效和安全。持续学习和改进这些实践，有助于在生产环境中成功运行容器化应用。

五、总结

遵循这些 Docker 最佳实践，您可以最大限度地提高应用程序的安全性、性能和开发效率。Docker 提供了一套强大的工具和功能来优化应用程序的交付和运行时环境。通过实施这些最佳实践，您可以充分利用 Docker 的潜力，确保应用程序的可靠性和可扩展性。

祝您的 Docker 之旅一切顺利！

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/羊村懒王/article/detail/591211