Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Ottimizza le immagini Docker con le build multi-stage: una guida completa

Padroneggia le build multi-stage di Docker per ridurre drasticamente le dimensioni delle tue immagini, accelerare le distribuzioni e migliorare la sicurezza. Questa guida completa fornisce istruzioni passo-passo, esempi pratici per Go e Node.js e best practice essenziali. Impara a ottimizzare i tuoi Dockerfile separando le dipendenze di build, assicurando che solo i componenti necessari raggiungano la tua immagine runtime finale. Lettura essenziale per chiunque desideri creare applicazioni containerizzate efficienti e sicure.

42 visualizzazioni

Ottimizza le Immagini Docker con le Build Multi-Stage: Una Guida Completa

I container Docker hanno rivoluzionato lo sviluppo e il deployment delle applicazioni fornendo ambienti isolati e consistenti. Tuttavia, con la crescente complessità delle applicazioni, aumentano anche le loro immagini Docker. Immagini di grandi dimensioni portano a tempi di build più lenti, a un maggiore fabbisogno di spazio di archiviazione e a cicli di deployment più lunghi. Inoltre, l'inclusione delle dipendenze di build nell'immagine finale di runtime può introdurre vulnerabilità di sicurezza non necessarie. Le build multi-stage offrono una soluzione elegante ed estremamente efficace a queste sfide.

Questa guida completa ti accompagnerà attraverso il concetto e l'implementazione pratica delle build Docker multi-stage. Alla fine, comprenderai come sfruttare questa potente tecnica per creare immagini Docker significativamente più piccole, più sicure e più efficienti per le tue applicazioni. Esploreremo i principi fondamentali, dimostreremo esempi reali e discuteremo le best practice per ottimizzare il tuo flusso di lavoro di containerizzazione.

Comprendere il Problema: Immagini Docker Gonfie

Tradizionalmente, la creazione di un'immagine Docker spesso coinvolge un singolo Dockerfile che esegue tutti i passaggi: installazione delle dipendenze, compilazione del codice e configurazione dell'ambiente di runtime. Questo approccio monolitico spesso si traduce in immagini che contengono una grande quantità di strumenti e librerie che sono necessari solo durante il processo di build, non perché l'applicazione venga eseguita effettivamente.

Considera una tipica build di un'applicazione Go. Hai bisogno del compilatore Go, dell'SDK e potenzialmente degli strumenti di build. Una volta che l'applicazione è stata compilata in un binario, queste dipendenze specifiche di Go non sono più richieste. Se rimangono nell'immagine finale, esse:

  • Aumentano le Dimensioni dell'Immagine: Più layer, più dati da scaricare e archiviare.
  • Prolungano i Tempi di Deployment: Immagini più grandi richiedono più tempo per essere trasferite.
  • Introducono Rischi di Sicurezza: Una superficie di attacco più ampia con software non necessario.
  • Offuscano l'Ambiente di Runtime: Rende più difficile capire cosa è veramente necessario.

Le build multi-stage sono progettate per rimuovere chirurgicamente questi artefatti di build dall'immagine finale di runtime.

Cosa sono le Build Multi-Stage?

Le build multi-stage ti consentono di utilizzare più istruzioni FROM in un singolo Dockerfile. Ogni istruzione FROM inizia una nuova stage di build. Puoi copiare selettivamente artefatti (come binari compilati, asset statici o file di configurazione) da uno stage all'altro, scartando tutto il resto dagli stage precedenti. Ciò significa che la tua immagine finale conterrà solo i componenti necessari per eseguire la tua applicazione, non gli strumenti e le dipendenze utilizzati per costruirla.

Concetti Chiave:

  • Stages: Ogni istruzione FROM definisce un nuovo stage di build. Gli stage sono indipendenti l'uno dall'altro a meno che tu non li colleghi esplicitamente.
  • Denominazione degli Stages: Puoi denominare gli stage usando AS <nome-stage> (ad esempio, FROM golang:1.21 AS builder). Questo rende più facile farvi riferimento in seguito.
  • Copia di Artefatti: L'istruzione COPY --from=<nome-stage> è cruciale per trasferire file tra gli stage. Specifichi lo stage di origine e i file/directory da copiare.

Implementazione delle Build Multi-Stage: Un Esempio Passo-Passo (Applicazione Go)

Illustriamo le build multi-stage con un semplice web server Go. L'obiettivo è avere un'immagine piccola ed efficiente contenente solo il binario compilato.

main.go (Un semplice web server Go)

package main

import (
    "fmt"
    "log"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w, "Hello from optimized Docker image!")
}

func main() {
    http.HandleFunc("/", handler)
    log.Println("Server starting on :8080...")
    log.Fatal(http.ListenAndServe(":8080", nil))
}

Dockerfile senza Build Multi-Stage (A confronto)

Questo è un modo comune, ma meno ottimale, per creare un'applicazione Go.

# Stage 1: Build dell'applicazione Go
FROM golang:1.21 AS builder

WORKDIR /app

COPY go.mod go.sum ./
RUN go mod download

COPY *.go .
RUN go build -o myapp

# Stage 2: Creazione dell'immagine finale di runtime
FROM alpine:latest

WORKDIR /app

# Copia il binario compilato dallo stage builder
COPY --from=builder /app/myapp .

EXPOSE 8080
CMD ["./myapp"]

Aspetta, l'esempio qui sopra sta* usando build multi-stage! Correggiamo e mostriamo prima una versione veramente inefficiente, poi la versione multi-stage.

Dockerfile Inefficiente (Singolo Stage)

Questo Dockerfile installa il toolchain Go nell'immagine finale, il che è inutile per il runtime.

# Usa un'immagine Go che includa il toolchain per la build e l'esecuzione
FROM golang:1.21-alpine

WORKDIR /app

COPY go.mod go.sum ./
RUN go mod download

COPY *.go .
RUN go build -o myapp

EXPOSE 8080
CMD ["./myapp"]

Quando costruisci questa immagine (docker build -t go-app-inefficient .), noterai che la sua dimensione è significativamente maggiore (ad esempio, circa 300 MB) rispetto a un'immagine di runtime minimale. Questo perché l'intera immagine golang:1.21-alpine, incluso il compilatore Go e l'SDK, fa parte dell'immagine finale.

Dockerfile Ottimizzato con Build Multi-Stage

Ora, implementiamo l'approccio multi-stage. Useremo un'immagine Go per la build e una minimale immagine alpine per il runtime.

# Stage 1: Build dell'applicazione Go
# Usa una versione Go specifica per la build, alias 'builder'
FROM golang:1.21-alpine AS builder

# Imposta la directory di lavoro all'interno del container
WORKDIR /app

# Copia go.mod e go.sum per scaricare le dipendenze
COPY go.mod go.sum ./
RUN go mod download

# Copia il resto del codice sorgente dell'applicazione
COPY *.go .

# Compila l'applicazione Go staticamente (importante per immagini minimali)
# I flag -ldflags='-w -s' rimuovono le informazioni di debug e le symbol table, riducendo ulteriormente le dimensioni.
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags='-w -s' -o myapp

#-----------------------------------------------------------

# Stage 2: Crea l'immagine finale di runtime
# Usa un'immagine base minimale come alpine per l'ambiente di runtime
FROM alpine:latest

# Imposta la directory di lavoro
WORKDIR /app

# Copia solo il binario compilato dallo stage 'builder'
COPY --from=builder /app/myapp .

# Esponi la porta su cui l'applicazione è in ascolto
EXPOSE 8080

# Comando per eseguire l'eseguibile
CMD ["./myapp"]

Spiegazione:

  1. FROM golang:1.21-alpine AS builder: Questa riga avvia il primo stage e lo denomina builder. Usiamo un'immagine Go che ha gli strumenti necessari per compilare la nostra applicazione.
  2. WORKDIR /app, COPY go.mod go.sum ./, RUN go mod download: Passaggi standard di gestione delle dipendenze.
  3. COPY *.go .: Copia il codice sorgente.
  4. RUN CGO_ENABLED=0 GOOS=linux go build -ldflags='-w -s' -o myapp: Questo compila l'applicazione Go. CGO_ENABLED=0 e GOOS=linux assicurano che venga prodotto un binario statico, essenziale per l'esecuzione in immagini minimali come Alpine. I flag -ldflags='-w -s' sono ottimizzazioni per ridurre la dimensione del binario rimuovendo le informazioni di debug.
  5. FROM alpine:latest: Questo avvia il secondo stage. Crucialmente, utilizza un'immagine di base completamente diversa e molto più piccola (alpine).
  6. WORKDIR /app: Imposta la directory di lavoro per lo stage di runtime.
  7. COPY --from=builder /app/myapp .: Questa è la magia! Copia solo il binario compilato myapp dallo stage builder (il primo stage) nello stage corrente. L'intero toolchain Go e il codice sorgente dallo stage builder vengono scartati.
  8. EXPOSE 8080 e CMD ["./myapp"]: Istruzioni standard per l'esecuzione dell'applicazione.

Costruzione dell'Immagine Ottimizzata

Per costruire questa immagine, salva il Dockerfile ed esegui:

docker build -t go-app-optimized .

Osserverai che l'immagine go-app-optimized è drasticamente più piccola (ad esempio, circa 10-20 MB) rispetto alla versione inefficiente, dimostrando la potenza delle build multi-stage.

Build Multi-Stage per Altri Linguaggi/Framework

Il principio si estende praticamente a qualsiasi linguaggio o processo di build:

  • Node.js: Usa un'immagine node con npm/yarn per installare le dipendenze e costruire i tuoi asset frontend (ad esempio, React, Vue), quindi copia solo l'output di build statico in un'immagine leggera nginx o httpd per la distribuzione.
  • Java: Usa un'immagine Maven o Gradle per compilare il tuo file .jar o .war, quindi copia l'artefatto in un'immagine JRE minimale.
  • Python: Usa un'immagine Python con pip per installare le dipendenze, quindi copia il codice della tua applicazione e i pacchetti installati in un'immagine Python slim.

Esempio: Build Frontend Node.js

# Stage 1: Build degli asset frontend
FROM node:20-alpine AS frontend-builder

WORKDIR /app

COPY frontend/package.json frontend/package-lock.json .
RUN npm install

COPY frontend/ .
RUN npm run build

# Stage 2: Distribuzione degli asset statici con Nginx
FROM nginx:alpine

# Copia gli asset costruiti dallo stage frontend-builder
COPY --from=frontend-builder /app/dist /usr/share/nginx/html

EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]