Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps

Criação de Imagens Docker Eficientes: Melhores Práticas para Desempenho

Construa imagens Docker menores com imagens base enxutas, .dockerignore, Dockerfiles amigáveis ao cache e builds multi-estágio.

Construindo Imagens Docker Eficientes: Melhores Práticas para Performance

Imagens Docker eficientes tornam seus builds mais rápidos, implantações mais leves e contêineres de produção mais fáceis de proteger. Imagens inchadas tornam a CI lenta, desperdiçam armazenamento de registro e frequentemente carregam ferramentas que sua aplicação não precisa em tempo de execução.

O objetivo não é criar a menor imagem possível a qualquer custo. O objetivo é construir uma imagem previsível que contenha sua aplicação, suas dependências de tempo de execução e pouco mais.

Por que a Eficiência da Imagem Importa

Imagens Docker otimizadas oferecem uma cascata de benefícios em todo o ciclo de vida de desenvolvimento de software:

  • Builds Mais Rápidos: Contextos menores e menos operações resultam em criação de imagem mais rápida, acelerando seus pipelines de CI/CD.
  • Custos de Armazenamento Reduzidos: Menos espaço em disco consumido em registros e máquinas host, reduzindo despesas de infraestrutura.
  • Implantações Mais Rápidas: Imagens menores transferem mais rapidamente pela rede, levando a implantação e escalonamento rápidos em ambientes de produção.
  • Performance Melhorada: Menos dados para carregar significa que os contêineres iniciam e executam de forma mais eficiente.
  • Segurança Aprimorada: Uma imagem menor com menos dependências e ferramentas apresenta uma superfície de ataque reduzida, pois há menos vulnerabilidades potenciais a serem exploradas.
  • Melhor Experiência do Desenvolvedor: Ciclos de feedback mais rápidos e menos tempo de espera contribuem para um ambiente de desenvolvimento mais produtivo.

Melhores Práticas de Dockerfile para Performance

Seu Dockerfile é o blueprint para sua imagem. Otimizá-lo é o primeiro e mais impactante passo em direção à eficiência.

1. Escolha uma Imagem Base Mínima

A instrução FROM define a base da sua imagem. Começar com uma imagem base menor reduz drasticamente o tamanho final da imagem.

  • Alpine Linux: Muito pequena e útil para aplicações que funcionam bem com musl libc. Teste cuidadosamente se sua aplicação ou dependências nativas esperam comportamento glibc.
  • Imagens Distroless: Fornecidas pelo Google, essas imagens contêm apenas sua aplicação e suas dependências de tempo de execução, removendo shell, gerenciadores de pacotes e outros utilitários do SO. Elas oferecem excelente segurança e tamanho mínimo.
  • Versões Específicas de Distribuição: Evite tags genéricas como ubuntu:latest ou node:latest. Em vez disso, fixe em versões específicas como ubuntu:22.04 ou node:18-alpine para garantir reprodutibilidade e estabilidade.
# Ruim: Imagem base grande, potencialmente inconsistente
FROM ubuntu:latest

# Bom: Imagem base menor e mais consistente
FROM node:18-alpine

# Ainda Melhor para aplicações compiladas (se aplicável)
FROM gcr.io/distroless/static

2. Aproveite o .dockerignore

Assim como o .gitignore, um arquivo .dockerignore impede que arquivos desnecessários sejam copiados para o seu contexto de build. Isso acelera significativamente o processo docker build ao reduzir os dados que o daemon Docker precisa processar.

Crie um arquivo chamado .dockerignore na raiz do seu projeto:

# Ignorar arquivos relacionados ao Git
.git
.gitignore

# Ignorar dependências do Node.js (serão instaladas dentro do contêiner)
node_modules
npm-debug.log

# Ignorar arquivos de desenvolvimento local
.env
*.log
*.DS_Store

# Ignorar artefatos de build que serão criados dentro do contêiner
build
dist

3. Minimize Camadas Combinando Instruções RUN

Cada instrução RUN em um Dockerfile cria uma nova camada. Embora as camadas sejam essenciais para o cache, muitas podem inchar a imagem. Combine comandos relacionados em uma única instrução RUN, usando && para encadeá-los.

# Ruim: Cria múltiplas camadas
RUN apt-get update
RUN apt-get install -y --no-install-recommends git curl
RUN rm -rf /var/lib/apt/lists/*

# Bom: Cria uma única camada e limpa de uma só vez
RUN apt-get update && \
    apt-get install -y --no-install-recommends git curl && \
    rm -rf /var/lib/apt/lists/*

Dica: Sempre inclua comandos de limpeza como rm -rf /var/lib/apt/lists/* para Debian e Ubuntu na mesma instrução RUN que instala pacotes. Para Alpine, prefira apk add --no-cache em vez de limpar manualmente /var/cache/apk.

4. Ordene as Instruções do Dockerfile de Forma Otimizada

O Docker armazena em cache as camadas com base na ordem das instruções. Coloque as instruções mais estáveis e que mudam com menos frequência primeiro no seu Dockerfile. Isso garante que o Docker possa reutilizar camadas em cache de builds anteriores, acelerando significativamente os builds subsequentes.

Ordem geral:

  1. FROM (imagem base)
  2. ARG (argumentos de build)
  3. ENV (variáveis de ambiente)
  4. WORKDIR (diretório de trabalho)
  5. COPY para dependências (ex.: package.json, pom.xml, requirements.txt)
  6. RUN para instalar dependências (ex.: npm install, pip install)
  7. COPY para código fonte da aplicação
  8. EXPOSE (portas)
  9. ENTRYPOINT / CMD (execução da aplicação)
FROM node:18-alpine
WORKDIR /app

# Esses arquivos mudam com menos frequência que o código fonte, então coloque-os primeiro
COPY package.json package-lock.json ./ 
RUN npm ci --omit=dev

# O código fonte da aplicação muda com mais frequência
COPY . . 

CMD ["node", "server.js"]

5. Use Versões Específicas de Pacotes

Fixar versões para pacotes instalados via comandos RUN (ex.: apt-get install mypackage=1.2.3) garante reprodutibilidade e previne problemas inesperados ou aumentos de tamanho devido a novas versões de pacotes.

6. Evite Instalar Ferramentas Desnecessárias

Instale apenas o que é estritamente necessário para sua aplicação funcionar. Ferramentas de desenvolvimento, depuradores ou editores de texto não têm lugar em uma imagem de produção.

Aproveitando Builds Multi-Estágio

Builds multi-estágio são uma pedra angular da criação eficiente de imagens Docker. Eles permitem que você use múltiplas instruções FROM em um único Dockerfile, onde cada FROM inicia um novo estágio de build. Você pode então copiar seletivamente artefatos de um estágio para um estágio final e enxuto, deixando para trás todas as dependências de tempo de build, arquivos intermediários e ferramentas.

Isso reduz drasticamente o tamanho final da imagem e melhora a segurança ao incluir apenas o que é necessário em tempo de execução.

Como Funcionam os Builds Multi-Estágio

  1. Estágio Builder: Este estágio contém todas as ferramentas e dependências necessárias para compilar sua aplicação (ex.: compiladores, SDKs, bibliotecas de desenvolvimento). Ele produz os artefatos executáveis ou implantáveis.
  2. Estágio Runner: Este estágio começa a partir de uma imagem base mínima e copia apenas os artefatos necessários do estágio builder. Ele descarta todo o resto do estágio builder, resultando em uma imagem final significativamente menor.

Exemplo de Build Multi-Estágio (Aplicação Go)

Considere uma aplicação Go. Compilá-la requer um compilador Go, mas o executável final só precisa de um ambiente de tempo de execução.

# Estágio 1: Builder
FROM golang:1.20-alpine AS builder

WORKDIR /app
COPY go.mod go.sum ./ 
RUN go mod download

COPY . . 
RUN CGO_ENABLED=0 GOOS=linux go build -a -ldflags '-s -w' -o myapp .

# Estágio 2: Runner
FROM alpine:3.20
WORKDIR /root/

# Copiar apenas o executável compilado do estágio builder
COPY --from=builder /app/myapp .

EXPOSE 8080
CMD ["./myapp"]

Neste exemplo:

  • O estágio builder usa golang:1.20-alpine para compilar a aplicação Go.
  • O estágio runner começa a partir de uma imagem Alpine pequena e copia apenas o executável myapp do estágio builder, descartando o SDK Go e as dependências de build.

Técnicas Avançadas de Otimização

1. Considere Usar COPY --chown

Ao copiar arquivos, use --chown para definir o proprietário e o grupo para um usuário não root. Esta é uma prática recomendada de segurança e pode prevenir problemas de permissão.

RUN addgroup --system appgroup && adduser --system --ingroup appgroup appuser
USER appuser

# Copiar arquivos diretamente como o usuário não root
COPY --chown=appuser:appgroup ./app /app

2. Não Adicione Informações Sensíveis

Nunca codifique segredos (chaves de API, senhas) diretamente em seu Dockerfile ou imagem. Use variáveis de ambiente, Docker Secrets ou sistemas de gerenciamento de segredos externos. Argumentos de build (ARG) são visíveis no histórico da imagem, então mesmo usá-los para segredos é arriscado.

3. Use Recursos do BuildKit (se disponível)

Se seu build Docker usa BuildKit, você pode usar recursos como RUN --mount=type=cache para caches de dependência ou RUN --mount=type=secret para segredos de tempo de build que não devem ser incorporados na imagem.

# Exemplo com cache BuildKit para npm
FROM node:18-alpine

WORKDIR /app
COPY package.json package-lock.json ./

RUN --mount=type=cache,target=/root/.npm \
    npm ci --omit=dev

COPY . . 
CMD ["node", "server.js"]

Conclusão

Construir imagens Docker eficientes começa com um hábito simples: faça cada arquivo e pacote justificar seu lugar na imagem final. Use uma imagem base enxuta, mantenha o contexto de build pequeno, ordene as instruções para cache e mova compiladores ou SDKs para um estágio builder.

Principais Conclusões:

  • Comece Pequeno: Escolha a menor imagem base possível (Alpine, Distroless).
  • Seja Inteligente com Camadas: Combine comandos RUN e limpe efetivamente.
  • Cache com Sabedoria: Ordene as instruções para maximizar acertos de cache.
  • Isole Artefatos de Build: Use builds multi-estágio para descartar dependências de tempo de build.
  • Mantenha Enxuto: Inclua apenas o que é absolutamente necessário para o tempo de execução.

Monitore continuamente os tamanhos de suas imagens e tempos de build. Ferramentas como docker history podem ajudá-lo a entender como cada instrução contribui para o tamanho final da imagem. Revise e refatore regularmente seus Dockerfiles à medida que sua aplicação evolui para manter eficiência e performance ideais.