Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Migliori pratiche per la gestione delle immagini Docker con Pull e Push

Scopri le migliori pratiche per la gestione delle immagini Docker utilizzando `docker pull` e `docker push`. Questa guida copre flussi di lavoro efficienti per recuperare, taggare e caricare immagini nei registri, ottimizzare le dimensioni delle immagini, garantire la riproducibilità con tag specifici e integrare le pipeline CI/CD. Migliora la tua strategia di gestione delle immagini Docker per uno sviluppo e un deployment più fluidi.

Migliori Pratiche per la Gestione delle Immagini Docker con Pull e Push

Le immagini Docker spostano la tua applicazione dal laptop al CI alla produzione, ma abitudini sciatte di pull e push possono rendere i deployment imprevedibili. Se ti affidi a tag mobili, salti i controlli di autenticazione del registry o invii immagini senza un piano di denominazione, potresti distribuire la build sbagliata anche quando ogni comando ha successo.

Queste migliori pratiche per la gestione delle immagini Docker con docker pull e docker push si concentrano su tag riproducibili, flussi di lavoro sicuri per i registry e comandi semplici che puoi utilizzare in script e pipeline CI/CD.

Comprendere docker pull

Il comando docker pull è il tuo gateway per accedere al vasto ecosistema di immagini Docker pre-costruite disponibili nei registry. Scarica un'immagine o un tag specifico da un registry al tuo demone Docker locale. Questo è il primo passo quando hai bisogno di utilizzare un'immagine esistente come base per la tua applicazione o quando esegui un servizio che si basa su un'immagine contenitore specifica.

Utilizzo di Base

Il modo più semplice per utilizzare docker pull è specificare il nome dell'immagine, opzionalmente seguito da un tag:

docker pull <nome_immagine>[:<tag>]

Esempi:

  • Recuperare il tag latest di Ubuntu:

    docker pull ubuntu

    Questo scarica l'immagine taggata come latest, che è l'impostazione predefinita se non viene specificato alcun tag. Trattalo come un tag di comodità, non un pin di produzione.

  • Recuperare una versione specifica di Alpine Linux:

    docker pull alpine:3.18

    Questo garantisce un ambiente di build riproducibile.

  • Recuperare un'immagine da un registry specifico:

    docker pull registry.esempio.com/mia-app:v1.2

    Se stai utilizzando un registry privato o un registry diverso da Docker Hub, dovrai includere il nome host del registry.

Migliori Pratiche per docker pull

  • Specifica sempre un tag: Affidarsi a latest può portare a comportamenti imprevisti perché un proprietario del registry può spostare quel tag in qualsiasi momento. Tag espliciti come alpine:3.18 o nginx:1.25-alpine rendono le build più facili da ripetere.
  • Usa riferimenti immutabili per la produzione: I tag sono intuitivi per gli umani, ma possono essere sovrascritti. Per rollout di produzione rigorosi, distribuisci un tag testato più il digest dell'immagine, ad esempio nginx:1.25-alpine@sha256:<digest>.
  • Pulisci le immagini inutilizzate: Pota regolarmente la cache delle immagini locali usando docker image prune per liberare spazio su disco. Le immagini che recuperi possono consumare una quantità significativa di storage.
  • Comprendi i layer delle immagini: Le immagini Docker sono costruite a layer. Quando recuperi un'immagine, stai scaricando questi layer. Docker memorizza intelligentemente nella cache questi layer localmente, quindi se recuperi un'immagine che condivide layer con una che hai già, verranno scaricati solo i nuovi layer, rendendo i recuperi successivi più veloci.

Comprendere docker push

Il comando docker push viene utilizzato per caricare le immagini Docker costruite o modificate localmente su un registry di contenitori. Questo è essenziale per condividere le tue immagini con i collaboratori, distribuirle su piattaforme cloud o archiviarle come backup.

Utilizzo di Base

Per inviare un'immagine, deve essere taggata appropriatamente con il nome host del registry, il tuo nome utente (o nome dell'organizzazione), il nome dell'immagine e un tag.

docker push <nome_immagine>[:<tag>]

Prerequisiti:

  1. Devi aver effettuato l'accesso al registry a cui intendi inviare utilizzando docker login.
  2. L'immagine deve essere taggata correttamente per il registry di destinazione.

Taggare per l'Invio

Prima di poter inviare un'immagine, devi taggarla con il percorso completo del repository di destinazione nel registry. Il formato standard è:

<nome_host_registry>/<nome_utente_o_organizzazione>/<nome_immagine>:<tag>

Se stai inviando a Docker Hub, il nome_host_registry viene solitamente omesso e il formato diventa <nome_utente>/<nome_immagine>:<tag>.

Flusso di Lavoro di Esempio:

Supponiamo che tu abbia costruito un'immagine chiamata mia-app e desideri inviarla al tuo account Docker Hub (mionomeutente) con il tag v1.0.

  1. Costruisci la tua immagine (se non già fatto):

    docker build -t mia-app .

  2. Tagga l'immagine per Docker Hub:

    docker tag mia-app:latest mionomeutente/mia-app:v1.0

    Nota: Stiamo taggando la build latest di mia-app al percorso specifico del registry mionomeutente/mia-app:v1.0.

  3. Accedi a Docker Hub:

    docker login

Usa un token di accesso di Docker Hub o il flusso di token raccomandato dal tuo registry invece di digitare una password dell'account nell'automazione.

  1. Invia l'immagine taggata:
    docker push mionomeutente/mia-app:v1.0

Migliori Pratiche per docker push

  • Tagga con significato: Usa tag descrittivi (ad esempio, numeri di versione, nomi di release, staging, production) invece di solo latest. Questo rende più facile identificare e gestire versioni specifiche della tua immagine.
  • Usa più di un tag quando è utile: Un'immagine di release può avere sia i tag 1.4.2 che git-3f2a9c1. La versione aiuta gli umani; l'hash del commit punta al codice sorgente.
  • Scansiona le immagini per vulnerabilità: Prima di inviare, specialmente a repository pubblici o ambienti sensibili, considera la scansione delle tue immagini per vulnerabilità note utilizzando strumenti come Docker Scout o scanner di terze parti.
  • Minimizza la dimensione dell'immagine: Le immagini più piccole sono più veloci da inviare e recuperare. Ottimizza il tuo Dockerfile per ridurre la dimensione dell'immagine (ad esempio, usa build multi-stadio, pulisci i file intermedi, usa immagini di base minime come Alpine).
  • Usa registry privati per dati sensibili: Per codice proprietario o configurazioni sensibili, usa sempre un registry privato e gestisci i controlli di accesso in modo appropriato.
  • Automatizza il tagging e l'invio: Integra il tagging e l'invio delle immagini nella tua pipeline CI/CD per build e deployment automatizzati.

Scenari Avanzati e Suggerimenti

Recuperare e Inviare Tag Multipli

Per impostazione predefinita, docker pull e docker push operano su un singolo riferimento di immagine. Puoi taggare lo stesso ID immagine più di una volta e inviare ogni tag. Alcune versioni di Docker supportano anche docker image push --all-tags <repository> quando vuoi intenzionalmente inviare ogni tag locale per un repository.

Esempio: Inviare un'immagine con tag multipli

# Aggiungi un tag 'latest' che punta allo stesso ID immagine
docker tag mionomeutente/mia-app:v1.0 mionomeutente/mia-app:latest

# Invia il nuovo tag 'latest'
docker push mionomeutente/mia-app:latest

Autenticazione per Registry Privati

Per registry privati (come AWS ECR, Google GCR, Azure ACR o registry auto-ospitati), dovrai autenticarti prima di poter recuperare o inviare.

# Esempio per Docker Hub
docker login

# Esempio per AWS ECR (spesso usa un comando helper)
aws ecr get-login-password --region <regione> | docker login --username AWS --password-stdin <id_account_aws>.dkr.ecr.<regione>.amazonaws.com

Fai sempre riferimento alla documentazione del tuo registry specifico per il metodo di autenticazione corretto.

Layer delle Immagini e Caching

Il filesystem a layer di Docker mantiene i recuperi efficienti. Quando recuperi un'immagine, Docker controlla il suo archivio di contenuti locale per i layer esistenti e scarica solo i layer che non ha già. Durante docker build, BuildKit può anche riutilizzare i layer memorizzati nella cache da build precedenti quando le istruzioni del Dockerfile e gli input non sono cambiati.

Mantenere le Immagini Aggiornate

Recupera regolarmente le immagini di base e ricostruisci le immagini della tua applicazione per incorporare patch di sicurezza e aggiornamenti.

# Recupera l'immagine di base più recente
docker pull python:3.11-slim

# Ricostruisci l'immagine della tua applicazione utilizzando la base aggiornata
docker build -t mionomeutente/mia-app:v1.1 .

# Invia la nuova versione
docker push mionomeutente/mia-app:v1.1

Conclusione Pratica

Per il lavoro quotidiano, mantieni il flusso di lavoro noioso: recupera tag espliciti di immagini di base, costruisci con un tag di versione e commit, scansiona il risultato, accedi con un token, quindi invia solo i riferimenti che intendi distribuire. Per la produzione, registra il digest che ha superato i test in modo che la stessa immagine possa essere recuperata in seguito anche se un tag mutabile cambia.