3.掃描鏡像以查找安全漏洞

如何確定想要構建的鏡像沒有安全漏洞？掃描就行。可以使用Docker scan命令掃描Docker鏡像。語法如下：

複製

docker scan [IMAGE]

您必須先登錄到Docker才能掃描鏡像。

複製

docker login

然後，掃描您想要檢查的特定鏡像：

複製

docker scan ubuntu: latest

一種名為Synk的工具可以掃描鏡像，根據嚴重程度列出任何漏洞。您可以看到漏洞的類型和指向相關信息的連結（包括如何修復它）。您可以從掃描結果中判斷鏡像對您的應用程式而言是否足夠安全。

4.使用小型Docker鏡像

當您拉取Docker鏡像時，它附帶所有系統實用程序。這增加了不需要的工具的鏡像大小。

大型Docker鏡像占用存儲空間，並且減慢容器的運行速度。它們存在安全漏洞的可能性也更大。

您可以使用Alpine鏡像減小Docker鏡像的大小。Alpine鏡像是輕量級的，只附帶必要的工具。它們減少了存儲空間，使應用程式運行起來更快速、更高效。

可以在Docker上找到大多數官方鏡像的Alpine版本。下面是PostgreSQL的Alpine版本的示例：

5.優化緩存鏡像層

Dockerfile中的每個命令代表鏡像上的一個層。這些層有不同的實用程序，並執行不同的功能。如果您查看Docker Hub上的官方鏡像，將會看到用於創建它們的說明。

Dockerfile包含創建鏡像所需的全部內容。這就是為什麼許多開發人員青睞Docker而不是虛擬機的原因之一。

下面是示例Alpine鏡像的結構：

當您構建基於鏡像的應用程式時，實際上在為鏡像添加更多的層。Docker從上到下在Dockerfile上運行指令，如果一個層發生了變化，Docker必須重建後續的層。

最佳實踐是將您的Dockerfile按照由更改最少的文件到更改最頻繁的文件這個順序排列。不會改變的指令（比如安裝）可以放在文件的頂部。

當您修改一個文件時，Docker根據修改後的文件進行構建，並在上面緩存未修改的文件。因此，流程運行速度更快。

請看上圖所示的例子。如果應用程式文件發生了變化，Docker將從那裡構建，它沒必要再次安裝NPM包。

如果從鏡像構建，該過程將比從頭重建所有其他層運行得更快。緩存也加快了從Docker Hub拉取和推送鏡像的速度。

6.使用.dockerignore文件

在使用Dockerfile構建鏡像時，您可能希望保留某些信息的私密性。一些文件和文件夾可能是項目的一部分，但您不希望將它們包含在構建過程中。

使用.dockerignore文件可以大大減小鏡像大小。這是由於構建過程只包含必要的文件。它還有助於保持文件的私密性，避免暴露密鑰或密碼。

.dockerignore文件是您在與Dockerfile相同的文件夾中創建的一個文件。它是一個文本文件，酷似.gitignore文件，含有您不希望在構建過程中包含的任何文件的名稱。

這裡有一個例子：

7.使用最小權限用戶原則

默認情況下，Docker使用root用戶作為管理員以便獲得運行命令的權限，但這種做法不好。如果其中一個容器存在漏洞，黑客就可以訪問Docker主機。

為了避免這種情況，應創建專用的用戶和用戶組。您可以為用戶組設置相應的權限，以保護敏感信息。如果用戶受到危及，您可以在不暴露整個項目的情況下刪除該用戶。

下面這個例子展示了如何創建用戶並設置權限：

一些基本鏡像在其中創建了偽用戶。您可以使用已安裝的用戶，而不是root用戶權限。

最佳實踐是減少漏洞和編寫更簡潔代碼的好方法。您可以將許多最佳實踐應用於使用的每項Docker特性。

一個組織良好的項目可以更容易與Kubernetes等其他編排工具進行同步。您可以從本文中概述的這些方法入手，在學習Docker的過程中採用更多的方法。

原文標題：8 Docker Best Practices You Should Know About，作者：Sandra Dindi