Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Creazione di Immagini Docker Efficienti: Best Practices per le Prestazioni

Crea immagini Docker più piccole con immagini base snelle, .dockerignore, Dockerfile ottimizzati per la cache e build multi-stadio.

Costruire Immagini Docker Efficienti: Best Practice per le Performance

Le immagini Docker efficienti rendono i tuoi build più veloci, i deployment più leggeri e i container di produzione più facili da proteggere. Le immagini gonfiate rallentano la CI, sprecano spazio di archiviazione nel registro e spesso contengono strumenti di cui la tua applicazione non ha bisogno in fase di esecuzione.

L'obiettivo non è creare l'immagine più piccola possibile a tutti i costi. L'obiettivo è costruire un'immagine prevedibile che contenga la tua applicazione, le sue dipendenze runtime e poco altro.

Perché l'Efficienza dell'Immagine è Importante

Le immagini Docker ottimizzate offrono una cascata di benefici lungo l'intero ciclo di vita dello sviluppo software:

  • Build Più Veloci: Contesti più piccoli e meno operazioni portano a una creazione più rapida delle immagini, accelerando le pipeline CI/CD.
  • Costi di Archiviazione Ridotti: Minor spazio su disco consumato nei registri e sulle macchine host, abbassando le spese infrastrutturali.
  • Deployment Più Rapidi: Le immagini più piccole si trasferiscono più velocemente sulla rete, portando a un deployment e scaling rapidi in ambienti di produzione.
  • Performance Migliorate: Meno dati da caricare significa che i container si avviano e funzionano in modo più efficiente.
  • Sicurezza Migliorata: Un'immagine più piccola con meno dipendenze e strumenti presenta una superficie d'attacco ridotta, poiché ci sono meno potenziali vulnerabilità da sfruttare.
  • Migliore Esperienza Sviluppatore: Cicli di feedback più rapidi e meno tempo di attesa contribuiscono a un ambiente di sviluppo più produttivo.

Best Practice del Dockerfile per le Performance

Il tuo Dockerfile è il progetto per la tua immagine. Ottimizzarlo è il primo e più impattante passo verso l'efficienza.

1. Scegli un'Immagine Base Minima

L'istruzione FROM pone le fondamenta della tua immagine. Partire da un'immagine base più piccola riduce drasticamente la dimensione finale dell'immagine.

  • Alpine Linux: Molto piccola e utile per applicazioni che funzionano bene con musl libc. Testa attentamente se la tua app o le dipendenze native si aspettano il comportamento di glibc.
  • Immagini Distroless: Fornite da Google, queste immagini contengono solo la tua applicazione e le sue dipendenze runtime, eliminando shell, gestori di pacchetti e altre utilità del sistema operativo. Offrono un'eccellente sicurezza e dimensioni minime.
  • Versioni Specifiche della Distribuzione: Evita tag generici come ubuntu:latest o node:latest. Invece, fissa versioni specifiche come ubuntu:22.04 o node:18-alpine per garantire riproducibilità e stabilità.
# Male: Immagine base grande, potenzialmente inconsistente
FROM ubuntu:latest

# Bene: Immagine base più piccola e consistente
FROM node:18-alpine

# Ancora meglio per app compilate (se applicabile)
FROM gcr.io/distroless/static

2. Sfrutta .dockerignore

Proprio come .gitignore, un file .dockerignore impedisce che file non necessari vengano copiati nel contesto di build. Questo accelera significativamente il processo di docker build riducendo i dati che il demone Docker deve elaborare.

Crea un file chiamato .dockerignore nella radice del tuo progetto:

# Ignora i file relativi a Git
.git
.gitignore

# Ignora le dipendenze Node.js (verranno installate all'interno del container)
node_modules
npm-debug.log

# Ignora i file di sviluppo locale
.env
*.log
*.DS_Store

# Ignora gli artefatti di build che verranno creati all'interno del container
build
dist

3. Minimizza i Layer Combinando le Istruzioni RUN

Ogni istruzione RUN in un Dockerfile crea un nuovo layer. Mentre i layer sono essenziali per la cache, troppi possono gonfiare l'immagine. Combina comandi correlati in una singola istruzione RUN, usando && per concatenarli.

# Male: Crea layer multipli
RUN apt-get update
RUN apt-get install -y --no-install-recommends git curl
RUN rm -rf /var/lib/apt/lists/*

# Bene: Crea un singolo layer e pulisce in un colpo solo
RUN apt-get update && \
    apt-get install -y --no-install-recommends git curl && \
    rm -rf /var/lib/apt/lists/*

Consiglio: Includi sempre comandi di pulizia come rm -rf /var/lib/apt/lists/* per Debian e Ubuntu nella stessa istruzione RUN che installa i pacchetti. Per Alpine, preferisci apk add --no-cache invece di pulire manualmente /var/cache/apk.

4. Ordina le Istruzioni del Dockerfile in Modo Ottimale

Docker mette in cache i layer in base all'ordine delle istruzioni. Posiziona le istruzioni più stabili e che cambiano meno frequentemente all'inizio del tuo Dockerfile. Questo assicura che Docker possa riutilizzare i layer memorizzati nella cache da build precedenti, accelerando significativamente i build successivi.

Ordine generale:

  1. FROM (immagine base)
  2. ARG (argomenti di build)
  3. ENV (variabili d'ambiente)
  4. WORKDIR (directory di lavoro)
  5. COPY per le dipendenze (es., package.json, pom.xml, requirements.txt)
  6. RUN per installare le dipendenze (es., npm install, pip install)
  7. COPY per il codice sorgente dell'applicazione
  8. EXPOSE (porte)
  9. ENTRYPOINT / CMD (esecuzione dell'applicazione)
FROM node:18-alpine
WORKDIR /app

# Questi file cambiano meno frequentemente del codice sorgente, quindi mettili prima
COPY package.json package-lock.json ./ 
RUN npm ci --omit=dev

# Il codice sorgente dell'applicazione cambia più frequentemente
COPY . . 

CMD ["node", "server.js"]

5. Usa Versioni Specifiche dei Pacchetti

Fissare le versioni per i pacchetti installati tramite comandi RUN (es., apt-get install mypackage=1.2.3) garantisce riproducibilità e previene problemi imprevisti o aumenti di dimensione dovuti a nuove versioni dei pacchetti.

6. Evita di Installare Strumenti Non Necessari

Installa solo ciò che è strettamente necessario per far funzionare la tua applicazione. Strumenti di sviluppo, debugger o editor di testo non hanno posto in un'immagine di produzione.

Sfruttare i Build Multi-Stadio

I build multi-stadio sono una pietra miliare per la creazione efficiente di immagini Docker. Permettono di usare più istruzioni FROM in un singolo Dockerfile, dove ogni FROM inizia una nuova fase di build. Puoi quindi copiare selettivamente gli artefatti da una fase a una fase finale e snella, lasciando indietro tutte le dipendenze di build-time, i file intermedi e gli strumenti.

Questo riduce drasticamente la dimensione finale dell'immagine e migliora la sicurezza includendo solo ciò che è necessario in fase di esecuzione.

Come Funzionano i Build Multi-Stadio

  1. Fase Builder: Questa fase contiene tutti gli strumenti e le dipendenze necessari per compilare la tua applicazione (es., compilatori, SDK, librerie di sviluppo). Produce l'eseguibile o gli artefatti distribuibili.
  2. Fase Runner: Questa fase parte da un'immagine base minima e copia solo gli artefatti necessari dalla fase builder. Scarta tutto il resto dalla fase builder, risultando in un'immagine finale significativamente più piccola.

Esempio di Build Multi-Stadio (Applicazione Go)

Considera un'applicazione Go. Compilarla richiede un compilatore Go, ma l'eseguibile finale ha bisogno solo di un ambiente runtime.

# Stage 1: Builder
FROM golang:1.20-alpine AS builder

WORKDIR /app
COPY go.mod go.sum ./ 
RUN go mod download

COPY . . 
RUN CGO_ENABLED=0 GOOS=linux go build -a -ldflags '-s -w' -o myapp .

# Stage 2: Runner
FROM alpine:3.20
WORKDIR /root/

# Copia solo l'eseguibile compilato dalla fase builder
COPY --from=builder /app/myapp .

EXPOSE 8080
CMD ["./myapp"]

In questo esempio:

  • La fase builder usa golang:1.20-alpine per compilare l'applicazione Go.
  • La fase runner parte da una piccola immagine Alpine e copia solo l'eseguibile myapp dalla fase builder, scartando l'SDK Go e le dipendenze di build.

Tecniche di Ottimizzazione Avanzate

1. Considera l'Uso di COPY --chown

Quando copi file, usa --chown per impostare il proprietario e il gruppo su un utente non-root. Questa è una best practice di sicurezza e può prevenire problemi di permessi.

RUN addgroup --system appgroup && adduser --system --ingroup appgroup appuser
USER appuser

# Copia i file direttamente come utente non-root
COPY --chown=appuser:appgroup ./app /app

2. Non Aggiungere Informazioni Sensibili

Non hardcodare mai segreti (chiavi API, password) direttamente nel tuo Dockerfile o immagine. Usa variabili d'ambiente, Docker Secrets o sistemi di gestione dei segreti esterni. Gli argomenti di build (ARG) sono visibili nella cronologia dell'immagine, quindi usarli anche per i segreti è rischioso.

3. Usa le Funzionalità di BuildKit (se disponibili)

Se il tuo build Docker usa BuildKit, puoi sfruttare funzionalità come RUN --mount=type=cache per le cache delle dipendenze o RUN --mount=type=secret per i segreti di build-time che non devono essere cotti nell'immagine.

# Esempio con cache BuildKit per npm
FROM node:18-alpine

WORKDIR /app
COPY package.json package-lock.json ./

RUN --mount=type=cache,target=/root/.npm \
    npm ci --omit=dev

COPY . . 
CMD ["node", "server.js"]

Conclusione

Costruire immagini Docker efficienti inizia con una semplice abitudine: fai sì che ogni file e pacchetto giustifichi il suo posto nell'immagine finale. Usa un'immagine base snella, mantieni piccolo il contesto di build, ordina le istruzioni per la cache e sposta compilatori o SDK in una fase builder.

Punti Chiave:

  • Inizia Piccolo: Scegli l'immagine base più piccola possibile (Alpine, Distroless).
  • Sii Intelligente con i Layer: Combina i comandi RUN e pulisci efficacemente.
  • Usa la Cache Saggiamente: Ordina le istruzioni per massimizzare i colpi di cache.
  • Isola gli Artefatti di Build: Usa build multi-stadio per scartare le dipendenze di build-time.
  • Mantienilo Snello: Includi solo ciò che è assolutamente necessario per il runtime.

Monitora continuamente le dimensioni delle tue immagini e i tempi di build. Strumenti come docker history possono aiutarti a capire come ogni istruzione contribuisce alla dimensione finale dell'immagine. Rivedi e rifattorizza regolarmente i tuoi Dockerfile man mano che la tua applicazione evolve per mantenere efficienza e performance ottimali.