Docker 容器建置最佳實踐：Python 應使用案例項

在現今的軟體開發環境中，Docker 容器已成為不可或缺的技術。從 Kubernetes 的協調佈署到 Dev Containers 的靈活開發環境，容器的應用無處不在。然而，容器映像的建置方式往往未能達到最佳狀態。本文將以一個實際的 Python 應用程式為例，探討 Docker 建置的最佳實踐，並說明如何建構出一個安全（Secure）、**可重現（Reproducible）與快速（Fast）**的 Docker 映像。

建置目標：開發高品質 Docker 映像

在探討具體實踐之前，讓我們先確立本次 Docker 建置的目標：

• 完全可重現性（Reproducibility）：確保在任何環境、任何時間，相同的輸入都能產生相同的輸出。
• 建置速度最佳化（Speed Optimization）：快速完成建置過程，及早發現程式碼問題。
• 測試與佈署隔離（Isolation of Testing and Deployment）：將測試程式碼與實際佈署的程式碼隔離開來，降低錯誤風險。
• 安全性強化（Security Hardening）：建構安全的 Docker 映像，降低潛在的安全風險。

這個範例旨在展示如何充分利用 Docker 的潛力，實作持續整合與持續佈署（CI/CD）的理想。

為何需要這些目標？

可重現性：穩定與合規的根本

可重現的建置是確保**合規性（Compliance）和簡化除錯（Debugging）**流程的關鍵。透過確保相同的輸入產生相同的輸出，我們可以更容易地追蹤和還原到過去佈署的軟體狀態，從而提升整體系統的穩定性。

建置速度：提升開發效率

建置速度直接影響開發效率。沒有人喜歡長時間等待建置完成，尤其是在進行小幅程式碼變更時。快速建置能夠及早發現問題，讓開發者能夠更快速地迭代和修正。

測試與佈署隔離：降低錯誤風險

雖然測試框架能夠有效地隔離測試程式碼與被測試的程式碼，但編寫測試本身也存在引入錯誤的風險。此外，測試程式碼對於執行時應用程式來說是一種額外的負擔。因此，將測試與佈署隔離有助於降低錯誤風險，並提升應用程式的效能。

安全性：保護容器免受威脅

容器技術本身並不保證安全性。為了充分利用容器的隔離優勢，必須以安全為考量來建構映像。例如，避免在映像中包含不必要的工具，並限制執行時使用者的許可權。

Python 與 Docker：兼顧效能與安全

Python 是一種解釋型語言（Interpreted Language），這意味著它不需要編譯步驟。雖然這在某種程度上簡化了 Docker 建置流程，但也帶來了一些挑戰。相較於編譯型語言，Python 應用程式通常需要更多的系統資源才能執行。

儘管如此，在 Docker 中佈署 Python 應用程式仍然有其優勢。其中一個主要原因是，相較於傳統的作業系統，我們可以更輕鬆地精簡 Docker 映像，移除不必要的元件，從而降低潛在的攻擊面。此外，Docker 的建置過程也更容易管理，並提供了在任何地方建置、測試和執行構建產物的可能性。

範例應用：外觀反向代理

本文將以一個外觀**反向代理（Reverse Proxy）**應用程式為例，說明 Docker 建置的最佳實踐。這個應用程式為客戶端提供了一個標準化的 API，並根據請求內容將請求路由到後端系統。這種架構常見於 API 閘道，但具有更複雜的路由邏輯，需要與 Kubernetes、雲端門戶等系統進行整合。

Dockerfile 建置策略

接下來，我們將探討 Dockerfile 的具體內容，並說明每個步驟背後的考量。

選擇合適的基礎映像（Base Image）

選擇一個精簡與安全的**基礎映像（Base Image）**是建構安全 Docker 映像的第一步。我們可以選擇一個根據 Debian slim 的映像，例如 python:3.9-slim-buster。這個映像僅包含執行 Python 應用程式所需的最小元件，從而減少了潛在的安全漏洞。

使用多階段建置（Multi-Stage Build）

**多階段建置（Multi-Stage Build）**是 Docker 中一個強大的功能，它允許我們在不同的階段中使用不同的映像，並將最終的構建產物複製到一個更精簡的映像中。這有助於減少最終映像的大小，並降低安全風險。

在第一個階段，我們可以安裝所有必要的**開發工具（Development Tools）**和相依性，並執行測試。在第二個階段，我們只需要複製執行應用程式所需的檔案，並設定適當的執行時環境。

使用虛擬環境（Virtual Environment）

在 Python 專案中，使用**虛擬環境（Virtual Environment）**是一種良好的實踐。它可以將專案的相依性與系統級的相依性隔離開來，避免版本衝突和潛在的問題。

我們可以在 Dockerfile 中建立一個虛擬環境，並使用 pip 安裝專案的相依性。

設定使用者許可權（User Permissions）

為了提高安全性，我們應該避免以 root 使用者身份執行容器。我們可以建立一個專用的使用者，並將應用程式的執行許可權授予該使用者。

使用 .dockerignore 檔案

.dockerignore 檔案的作用類別似於 .gitignore 檔案，它可以排除不必要的檔案和目錄，從而減少映像的大小，並提高建置速度。

程式碼安全掃描

在建置過程中整合程式碼安全掃描工具，例如 Bandit，可以及早發現程式碼中的安全漏洞。

映象漏洞掃描

確保定期掃描 Docker 映象中的漏洞（Vulnerability），可以使用如 Trivy 等工具，能夠幫助確保及時修補安全漏洞。

本文探討了 Docker 容器建置的最佳實踐，並以一個實際的 Python 應用程式為例，說明如何建構可重現、快速、安全與隔離測試的 Docker 映像。透過遵循這些實踐，開發者可以提升容器化流程的效率與安全性，並確保應用程式的穩定性和可靠性。

在現今雲原生應用程式的開發中，使用 Dockerfile 構建容器映像已成為標準流程。一個良好設計的 Dockerfile 不僅能簡化佈署流程，還能確保應用程式在不同環境中的一致性與可重現性。本文中，玄貓（BlackCat）將探討一個用於構建 Python 應用程式的 Dockerfile 範例，並詳細解釋每個步驟的用意與最佳實踐。

利用多階段構建確保安全與效率

Dockerfile 採用多階段構建（Multi-stage builds）方法，這是一種將構建過程分解為多個獨立階段的技術。每個階段使用不同的基礎映像，並僅將必要的工件複製到最終的執行映像中。這種方法有助於減少最終映像的大小，並降低安全漏洞的風險。

引入證書繫結 (Certificate Bundle)

FROM internal.registry/base/ca-bundle:20220405 AS cert-bundle

此行程式碼參照了一個名為 cert-bundle 的容器映像，該映像包含生產網路代理證書及所有內部憑證授權單位 (CA)。由於應用程式需要透過 TLS 連線到具有內部證書的後端元件，因此這些 CA 是必要的。此外，應用程式還需要生產網路代理證書，以便直接從網際網路提取依賴項，而所有流量都將透過閘道代理路由。

證書管理策略 玄貓（BlackCat）認為透過 Docker 映像分發證書，而非壓縮的 TAR 檔案，主要原因在於希望擁有一種統一的方式來建構工件並管理 CI/CD 管道。透過 Docker 建立和管理證書，可以使用完整的 Docker 設定（例如 UCD/Jenkins/Tekton 管道進行建構、分發的登入檔、安全的品質門檻等），而不需要一個不同的系統來管理證書。

版本控制的重要性 請注意，此處指定了證書包的確切狀態（20220405），表示截至 2022 年 4 月 5 日的證書狀態。這對於使建構可重現非常重要。如果沒有固定證書的版本，今天可能可以建構映像，但明天一旦證書變更（即使根本沒有更改程式碼），建構就會失敗。在整個建構過程中，固定每一個版本至關重要。

構建基礎映像

FROM internal.registry/base/python:3.9.2-slim AS builder

這行程式碼參照了將用於開始建構的基礎映像。由於使用了精簡版映像，因此不需要超出標準 Python 安裝的內容。這個映像是從私有登入檔中提取的，因為所有 Docker 映像在之前都會進行掃描，以降低供應鏈攻擊的風險。此外，這裡的版本也是固定的。此建構步驟被賦予 builder 別名。從本質上講，這意味著從這行開始，定義了一個映像階段，其中將包含應用程式的建構過程。對於 Python 來說，主要包括下載依賴項（包括軟體和系統級別），並注入原始碼，因為不會有編譯步驟。

複製證書

COPY --from=cert-bundle /certs/ /usr/local/share/ca-certificates/

此指令將證書複製到建構映像中。透過在 COPY 命令的 --from 引數中參照建構步驟 cert-bundle（請參閱 Dockerfile 的第一行）來實作此目的。玄貓（BlackCat）指出，本可以在 --from 引數中直接參照映像。選擇使用建構階段別名是為了提高可見性，並在需要將證書複製到不同階段時減少重複。請注意，這僅複製原始證書。仍然需要產生特定於作業系統的繫結包。

更新 CA 證書

RUN update-ca-certificates

這行程式碼為建構映像（Debian）的底層作業系統產生一個證書繫結包。這使得後續的建構步驟可以使用證書繫結包來驗證 TLS 連線上的主機證書。

設定工作目錄

WORKDIR /app

此指令設定了一個工作目錄。其目的是擁有一個基礎目錄，在該目錄的基礎上執行操作。這可以是幾乎任何工作目錄，如果不存在則會被建立。按照慣例，選擇 /app/ 作為工作目錄。此外，在目錄後面加上 / 以更明確地表明參照的是目錄而不是檔案。

安裝 Pipenv

RUN pip install \
    --upgrade \
    --no-cache-dir \
    --ignore-installed \
    --trusted-host pypi.python.org \
    --trusted-host pypi.org \
    --trusted-host files.pythonhosted.org \
    pipenv==2024.2.0

此區塊使用 pip 安裝 pipenv，一個 Python 的相依性管理工具。--upgrade 確保 pipenv 是最新版本。--no-cache-dir 避免快取，確保每次安裝都是乾淨的。--ignore-installed 強制重新安裝，避免潛在的衝突。--trusted-host 允許從指定的 PyPI 伺服器下載套件，這在內部網路環境中非常有用。玄貓（BlackCat）建議固定 pipenv 的版本，以確保構建的可重現性。

ENV PIPENV_VENV_IN_PROJECT=1
ENV REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt

PIPENV_VENV_IN_PROJECT=1 設定使 pipenv 在專案目錄中建立虛擬環境，而不是在全域位置。REQUESTS_CA_BUNDLE 環境變數設定 requests 函式庫的 CA 證書繫結包。

COPY Pipfile Pipfile
COPY Pipfile.lock Pipfile.lock

複製 Pipfile 和 Pipfile.lock 檔案到容器中。Pipfile 定義了專案的依賴，而 Pipfile.lock 包含了確切的依賴版本，確保構建的可重現性。

RUN pipenv install --deploy

執行 pipenv install --deploy 安裝專案的依賴。--deploy 選項用於 CI/CD 環境，它會檢查 Pipfile.lock 是否存在，並在依賴不滿足時停止構建。

測試映像

FROM builder AS test
RUN pipenv install --dev --deploy
COPY ./pyproject.toml pyproject.toml
COPY ./assets/ ./assets
COPY ./features/ ./features
COPY ./tests/ ./tests
COPY ./src/ ./src/
RUN --mount=type=cache,target=./.mypy_cache/ \
    --mount=type=cache,target=./.pytest_cache/ \
    pipenv run mypy . \
    && pipenv run black --check . \
    && pipenv run bandit -ll ./src/*.py \
    && PYTHONPATH=./ pipenv run pytest

這個階段定義了一個測試映像，它根據之前的 builder 階段。它安裝了開發依賴，並複製了測試程式碼和原始碼。然後，它執行一系列測試，包括型別檢查 (mypy)、程式碼格式檢查 (black)、安全漏洞掃描 (bandit) 和單元測試 (pytest)。--mount=type=cache 用於快取 mypy 和 pytest 的結果，加速構建過程。

最終執行映像

FROM internal.registry/base/distroless-python:3.9.2
LABEL maintainer="Redacted <redacted-email>"
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt
ENV REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt
WORKDIR /app/
USER 1000
COPY --from=builder --chown=1000 /app/.venv/lib/python3.9/site-packages ./my-app
WORKDIR /app/my-app
COPY --chown=1000 ./src/ ./
ENTRYPOINT ["python3"]
CMD ["./main.py"]

這個階段定義了最終的執行映像，它根據一個精簡的 Python 映像 (distroless-python)。它複製了必要的證書、依賴和原始碼。USER 1000 設定了執行應用程式的使用者 ID。ENTRYPOINT 和 CMD 定義了應用程式的啟動命令。

玄貓（BlackCat）認為，這個 Dockerfile 展示了構建安全與可重現的 Python 應用程式的最佳實踐。透過使用多階段構建、固定版本、證書管理和全面的測試，可以確保應用程式在容器化環境中穩定可靠地執行。這個方法不僅提升了安全性，也簡化了佈署流程，使得應用程式的開發和維護更加便捷。

在現代軟體開發中，一致性、可重現性與效率是至關重要的。對於 Python 開發者而言，**相依性管理（Dependency Management）與環境虛擬化（Environment Virtualization）**是確保這些目標的關鍵。Pipenv 作為一款強大的 Python 相依性管理工具，能夠有效地解決這些問題。本文將探討 Pipenv 的核心概念與應用，並探討如何將其與 Docker 整合，從而建立一個穩健與高效的開發流程。

為何選擇 Pipenv？

在 Python 的世界裡，pip 一直是標準的套件管理器。然而，隨著專案複雜度的增加，pip 在相依性管理方面的一些侷限性逐漸顯現。Pipenv 的出現，正是為了彌補這些不足。

1. 環境隔離（Environment Isolation）：Pipenv 能夠為每個專案建立獨立的虛擬環境，避免不同專案之間的依賴衝突。
2. 依賴鎖定（Dependency Locking）：Pipenv 使用 Pipfile 和 Pipfile.lock 檔案，確保每次安裝的依賴版本完全一致，實作可重現的構建。
3. 簡化工作流程（Simplified Workflow）：Pipenv 將包管理、虛擬環境管理等功能整合在一起，簡化了開發者的工作流程。

考慮到環境虛擬化已被 Docker 本身涵蓋，為何還需要 Pipenv 呢？主要有兩個原因：

• 依賴鎖定（Dependency Locking）：Pipenv 允許使用 **雜湊（Hash）**鎖定依賴，這在標準 Python 套件管理器 pip 中並非原生支援。
• 開發環境一致性（Development Environment Consistency）：確保 Docker 內部的構建過程與外部的開發環境盡可能接近。即使不在 Docker 外部構建工件，開發者的 IDE 仍然需要依賴這些技術來支援程式碼補全、類別檢查、測試整合和除錯等功能。

Pipenv 的基本設定

在使用 Pipenv 之前，首先需要安裝它。建議使用以下命令安裝特定版本的 Pipenv：

python3 -m pip install --user --trusted-host pypi.python.org --trusted-host files.pythonhosted.org pipenv==2024.2.0

此命令會安裝 Pipenv 的 2024.2.0 版本（固定版本（Fixed Version））。使用 --trusted-host 標誌可以確保 Pipenv 在乾淨的環境中安裝完成後，可以使用以下命令初始化 Pipenv 環境：

pipenv --python 3.9

此命令會為專案建立一個虛擬環境，並指定 Python 版本為 3.9。接下來，可以使用 pipenv install 命令安裝專案所需的依賴：

pipenv install requests pydantic

此命令會將 requests 和 pydantic 包安裝到虛擬環境中，並將它們新增到 Pipfile 檔案中。Pipfile 檔案記錄了專案的依賴列表，其範例如下：

[[source]]
url = "https://pypi.org/simple"
verify_ssl = true
name = "pypi"

[packages]
requests = "==2.28.2"
pydantic = "==1.10.4"

[dev-packages]
black = "==23.1"
bandit = "==1.7.4"
pytest = "==7.2.1"
pytest-mock = "==3.9.0"
pytest-bdd = "==6.1.1"
mypy = "==1.1.1"
types-Pygments = "==2.14.0.6"

[requires]
python_version = "3.9"

Pipfile 檔案將依賴分為兩類別：packages 和 dev-packages。packages 包含應用程式執行所需的依賴，而 dev-packages 包含僅在測試和品品檢查中需要的依賴。

為了確保依賴的可重現性，Pipenv 會生成一個 Pipfile.lock 檔案。此檔案包含每個依賴及其傳遞依賴的 雜湊值（Hash Value）。透過鎖設定檔案，可以確保每次安裝的依賴版本完全一致。

在 Dockerfile 中整合 Pipenv

將 Pipenv 與 Docker 整合，可以建立一個一致與可重現的構建環境。以下是一個範例 Dockerfile：

FROM python:3.9-slim-buster AS builder

WORKDIR /app

# 設定環境變數
ENV PIPENV_VENV_IN_PROJECT=1
ENV REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt

# 複製依賴檔案
COPY Pipfile Pipfile
COPY Pipfile.lock Pipfile.lock

# 安裝生產依賴
RUN pip install --no-cache-dir pipenv && pipenv install --deploy

# 複製專案程式碼
COPY src/ src/

# 測試階段
FROM builder AS test

# 安裝開發依賴
RUN pipenv install --dev --deploy

# 複製測試程式碼
COPY tests/ tests/

# 執行測試
CMD ["pytest", "tests/"]

# 生產階段
FROM python:3.9-slim-buster AS release

WORKDIR /app

# 從 builder 階段複製依賴
COPY --from=builder /app/.venv .venv

# 從 builder 階段複製專案程式碼
COPY --from=builder /app/src src/

# 啟動應用程式
CMD ["python", "src/main.py"]

這個 Dockerfile 分為三個階段：

1. builder 階段：負責安裝生產依賴，並將專案程式碼複製到映像中。
2. test 階段：負責安裝開發依賴，並執行測試。
3. release 階段：負責從 builder 階段複製依賴和專案程式碼，並啟動應用程式。

在 builder 階段，首先設定了兩個環境變數：

• PIPENV_VENV_IN_PROJECT=1：指定 Pipenv 將虛擬環境直接安裝在專案目錄中。
• REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt：指定 Pipenv 使用系統的 憑證包（Certificate Bundle）。

然後，將 Pipfile 和 Pipfile.lock 檔案複製到映像中，並使用 pipenv install --deploy 命令安裝生產依賴。--deploy 標誌表示根據鎖設定檔案安裝依賴，確保每次安裝的版本完全一致。

在 test 階段，使用 pipenv install --dev --deploy 命令安裝開發依賴。--dev 標誌表示安裝 Pipfile 檔案中 [dev-packages] 部分的依賴。

最後，在 release 階段，從 builder 階段複製依賴和專案程式碼，並啟動應用程式。

Pipenv 是一款強大的 Python 相依性管理工具，能夠有效地解決依賴衝突、確保構建的可重現性，並簡化開發流程。透過將 Pipenv 與 Docker 整合，可以建立一個一致與高效的開發環境，從而提升開發效率和軟體品質。本文玄貓（BlackCat）探討了 Pipenv 的核心概念、設定方法，以及在 Dockerfile 中整合 Pipenv 的實務技巧，希望能幫助讀者更好地理解和應用 Pipenv。

在容器化應用程式的開發流程中，Dockerfile扮演著至關重要的角色。它不僅定義了應用程式的執行環境，更直接影響著構建效率與最終映像的安全性。玄貓（BlackCat）將探討如何透過最佳化Dockerfile，提升構建速度，同時確保應用程式的安全性與可靠性。

程式碼複製順序最佳化：提升快取效率

在Dockerfile中，複製程式碼的順序會顯著影響構建過程的快取效率。Docker會逐層構建映像，每一層都根據前一層的變更。如果某一層發生變更，後續所有層都需要重新構建。因此，玄貓（BlackCat）建議按照變更頻率由低到高的順序複製檔案，最大化利用Docker的快取機制。

1. 工具與設定：首先複製工具設定檔案，例如[tool.black]line-length = 100。這些檔案變更頻率低，有助於建立穩定的快取基礎。
2. 測試資產：接著複製測試設定等資產。這些檔案的變更頻率通常不高，除非新增設定類別測試。
3. Cucumber檔案：然後複製Cucumber檔案，用於行為驅動開發（BDD）測試。這些檔案僅在定義新的行為測試或新增功能時才會變更。
4. 測試程式碼：再複製包含單元測試和行為測試的程式碼。由於測試程式碼會隨著開發進度而頻繁變更，因此放在較後面的順序。
5. 實際程式碼：最後複製實際應用程式的程式碼。這是變更頻率最高的檔案，因此放在最後，以減少快取失效的可能性。

透過這種方式，當程式碼變更時，只有最後幾層需要重新構建，前面的層可以從快取中直接使用，大幅提升構建速度。

品質門檻與測試整合：確保程式碼品質

在Dockerfile中整合品質門檻與測試，有助於確保程式碼的品質與安全性。玄貓（BlackCat）建議在構建過程中執行以下檢查：

• mypy：靜態類別檢查（Static Type Checking）：檢查程式碼中的類別註解是否正確。雖然不強制要求每個地方都有類別資訊，但mypy可以驗證已提供的類別是否一致。
• black：程式碼格式化工具（Code Formatter）：確保程式碼符合預定的格式規範，提升可讀性與一致性。
• bandit：安全漏洞掃描工具（Security Vulnerability Scanner）：執行基本安全檢查，發現潛在的安全漏洞。建議設定只有在中等或更高嚴重性問題被發現時，構建才會失敗。
• pytest：單元測試框架（Unit Testing Framework）：執行單元測試，確保程式碼的功能符合預期。

將這些檢查整合到Dockerfile中，可以及早發現並修復問題，避免將有缺陷的程式碼佈署到生產環境。

多階段構建：精簡映像大小與提升安全性

多階段構建（Multi-Stage Builds）是Dockerfile的一項強大功能，允許在同一個Dockerfile中使用多個FROM指令，每個FROM指令代表一個新的構建階段。透過多階段構建，可以將構建環境與執行環境分離，最終只將執行應用程式所需的檔案複製到最終映像中，從而精簡映像大小，減少攻擊面。

例如，在Python專案中，可以使用一個階段來安裝依賴項、執行測試，然後使用另一個階段只複製應用程式碼和必要的依賴項到一個更小的基礎映像中，例如distroless-python。

FROM python:3.9-slim as builder
WORKDIR /app
COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt
COPY . .
RUN pytest

FROM gcr.io/distroless/python3.9
WORKDIR /app
COPY --from=builder /app .
CMD ["python", "app.py"]

在這個例子中，第一個階段（builder）用於安裝依賴項和執行測試，第二個階段使用distroless/python3.9作為基礎映像，只複製第一個階段構建的應用程式碼。這樣可以大幅減少最終映像的大小，同時移除不必要的工具和依賴項，提升安全性。

快取掛載：加速構建過程

Docker BuildKit 1.2引入了快取掛載（Cache Mounts）功能，允許在Docker構建之間快取內容。透過--mount=type=cache,target=<目標路徑>選項，可以將特定目錄掛載為快取，例如用於mypy和pytest的快取。

RUN --mount=type=cache,target=./.mypy_cache/ \
    --mount=type=cache,target=./.pytest_cache/ \
    pipenv run mypy && pipenv run black --check && pipenv run bandit -ll ./*.py && PYTHONPATH=./ pipenv run pytest

這樣，如果觸發了後續的Docker構建，而該構建不影響某些檔案，則不會再次執行這些檔案的類別檢查和測試，而是從快取中取得。對於pytest，這實際上是根據“每個測試”進行的，確保只有在測試的程式碼發生變更時才會執行測試。這樣的快取可以大幅提高你的管道速度，特別是當你的專案增長並且測試套件開始需要更多時間來執行時。 玄貓（BlackCat）強烈建議在Dockerfile中使用快取掛載，以提升構建速度。

維護者標籤：提升協作效率

在Dockerfile中新增維護者標籤（Maintainer Label），可以方便團隊成員瞭解映像的負責人，並在出現問題時及時聯絡。玄貓（BlackCat）建議使用官方維護者標籤，並參照團隊或個人的聯絡方式。

LABEL maintainer="Redacted <redacted-email>"

安全性最佳實踐：精簡映像與證書管理

在Dockerfile中，安全性是一個重要的考量因素。玄貓（BlackCat）建議採取以下安全措施：

• 使用無發行版映像（Distroless Images）：無發行版映像只包含執行應用程式所需的最小設定，不包含套件管理器和其他不必要的工具，從而減少攻擊面。
• 證書管理（Certificate Management）：在構建過程中，需要複製證書並設定Python使用捆綁包。由於無發行版映像不包含update-ca-certificates工具，因此需要從構建器階段複製證書。

最佳化Dockerfile是提升容器化應用程式開發效率與安全性的關鍵。透過合理的程式碼複製順序、品質門檻與測試整合、多階段構建、快取掛載、維護者標籤以及安全性最佳實踐，可以開發高效、安全、可靠的容器化應用程式。玄貓（BlackCat）希望本文提供的技巧能幫助讀者更好地利用Dockerfile，提升開發效率，確保應用程式的品質與安全。

在軟體開發的領域中，容器化技術（Containerization Technology）已成為不可或缺的一環，而 Docker 更是其中的佼者。透過 Docker，開發者可以將應用程式及其所有依賴項封裝成一個獨立的容器，確保在不同環境中都能一致執行。本文將探討如何使用 Dockerfile，開發一個高效能、安全與可重複使用的 Python 開發環境。

多階段構建（Multi-Stage Builds）：開發精簡映像

傳統的 Dockerfile 往往會包含大量的構建工具和依賴項，導致最終的映像檔體積龐大。多階段構建是一種優雅的解決方案，它允許我們在不同的階段使用不同的基礎映像，並將最終需要的元件複製到一個更精簡的映像中。

首先，我們可以利用一個包含所有開發工具的映像（例如 Python 3.9 的開發映像）來進行編譯、測試等操作。完成後，再將編譯好的程式碼和必要的執行時依賴項複製到一個更小的基礎映像（例如 Alpine Linux 或 Distroless 映像）。

FROM python:3.9-slim-buster AS builder

# 安裝構建所需的依賴項
RUN pip install --upgrade pip
RUN pip install pipenv

# 設定工作目錄
WORKDIR /app

# 複製 Pipfile 和 Pipfile.lock
COPY Pipfile Pipfile.lock ./

# 安裝開發依賴項
RUN pipenv install --deploy --system --dev

# 複製源程式碼
COPY ./src ./src

# 執行測試
RUN pytest

# --------------------------------------------------

FROM gcr.io/distroless/python39-debian11 AS production

# 設定工作目錄
WORKDIR /app

# 從構建階段複製依賴項
COPY --from=builder /app/.venv/lib/python3.9/site-packages ./

# 從構建階段複製源程式碼
COPY --from=builder /app/src ./src

# 設定啟動命令
ENTRYPOINT ["python3", "./src/main.py"]

在這個範例中，我們首先使用 python:3.9-slim-buster 映像作為構建階段（builder），安裝了 pipenv 並安裝了所有開發依賴項，然後執行了測試。接著，我們使用 gcr.io/distroless/python39-debian11 映像作為生產階段（production），僅複製了必要的依賴項和源程式碼。

快取最佳化（Cache Optimization）：加速構建流程

Docker 構建過程中的每一條指令都會產生一個新的映像層，Docker 會將這些層快取起來，以便在下次構建時重複使用。為了充分利用快取，我們需要仔細安排 Dockerfile 中的指令順序。

一個常見的技巧是將不常變動的指令放在前面，例如安裝依賴項。這樣，只有當依賴項發生變更時，才會重新執行這些指令，否則可以直接使用快取。

# 安裝構建所需的依賴項（不常變動）
RUN pip install --upgrade pip
RUN pip install pipenv

# 複製 Pipfile 和 Pipfile.lock（不常變動）
COPY Pipfile Pipfile.lock ./

# 安裝開發依賴項（不常變動）
RUN pipenv install --deploy --system --dev

# 複製源程式碼（常變動）
COPY ./src ./src

此外，我們還可以利用 .dockerignore 檔案，排除不必要的檔案和目錄，進一步減少構建時間。

安全最佳實踐（Security Best Practices）：強化容器安全

容器安全至關重要，以下是一些建議：

• 使用最小許可權原則（Principle of Least Privilege）： 避免以 root 使用者執行容器，而是建立一個非 root 使用者，並賦予其必要的許可權。
• 使用官方映像： 盡量使用官方提供的基礎映像，這些映像通常會經過安全掃描和漏洞修補。
• 定期更新映像： 定期更新基礎映像和依賴項，以修補已知的安全漏洞。
• 使用靜態程式碼分析工具： 使用 Bandit 等工具對程式碼進行靜態分析，以檢測潛在的安全風險。

整合測試流程（Integration Testing）：確保程式碼品質

將測試流程整合到 Docker 構建過程中，可以確保程式碼品質。我們可以在 Dockerfile 中加入執行測試的指令，例如 pytest。

# 執行測試
RUN pytest

如果測試失敗，構建過程也會失敗，這可以防止有問題的程式碼被佈署到生產環境。

透過精心設計的 Dockerfile，我們可以開發一個高效能、安全與可重複使用的 Python 開發環境。多階段構建、快取最佳化、安全最佳實踐和整合測試流程是其中的關鍵要素。玄貓（BlackCat）認為，花時間學習和掌握 Dockerfile 的編寫技巧，將能大幅提升開發效率並確保程式碼品質，為專案的成功奠定堅實的基礎。

最佳化 Docker 映像建置：提升速度、安全與效率

在現代軟體開發流程中，容器化技術（Containerization Technology）已成為不可或缺的一環。而 Docker 作為最流行的容器化平台，其映像建置（Image Building）的效率直接影響開發速度與佈署流程。本文將探討如何透過一系列策略與技巧，最佳化 Docker 映像建置流程，從而提升速度、安全與效率。

安全掃描與門檻設定

在建置 Docker 映像時，安全性是至關重要的考量因素。除了基本的安全掃描外，我們可以設定多種門檻來確保映像的安全性。例如，可以加入程式碼覆寫率（Code Coverage）基準、程式碼分析（Code Analysis）檢查或安全掃描（Security Scanning），以確保程式碼品質和安全性。

雖然在建置過程中，我們僅對可疑程式碼和供應鏈攻擊（Supply Chain Attack）進行一次安全檢查，但這個檢查是在最終的 Docker 映像上進行的，因此由管道本身在 Docker 構建過程之外執行。

Dockerfile RUN 指令與快取機制

在 Dockerfile 中，RUN 指令是執行命令的關鍵。將多個命令組合成一個 RUN 陳述式是一種最佳實踐，因為這些命令都無法單獨快取。如果它所依賴的層發生變化，則必須重新執行所有命令，或者都不必執行。將它們放入同一個 RUN 陳述式中會為所有四個命令生成一個新的層，這樣可以減少層的數量和 Docker 的建置開銷。

BuildKit 1.2 引入的 --mount 選項，允許在 Docker 建置之間快取內容。透過掛載快取，我們可以避免重複執行相同的任務。例如，可以為 mypy 和 pytest 掛載快取，確保只有在修改了相關檔案後，才會重新執行類別檢查（Type Checking）和測試（Testing），從而大幅提升建置速度。對於 pytest，這個快取甚至是根據「每個測試（Per-Test）」進行的，確保只有在測試的程式碼發生變更時才會執行測試。

多階段建置與執行時映像

多階段建置（Multi-Stage Builds）是一種有效的最佳化技術，它允許我們在不同的階段使用不同的映像，並將最終的工件複製到一個精簡的執行時映像（Runtime Image）中。

在編譯型語言（Compiled Language）如 Java 或 Golang 中，編譯階段（Compilation Stage）通常需要較長的時間。因此，我們可以在測試（Testing）完成後，再進行編譯，並使用最佳化編譯選項。編譯完成後，將最終的可執行檔（Executable）或 JAR 檔（JAR File）複製到執行時映像中。

在 Java 設定中，我們只需要一個可工作的 JRE（Java Runtime Environment）來執行應用程式，而不再需要 Maven、Java 編譯器等。同樣地，對於 Python，我們可以選擇一個無發行版映像（Distroless Image），它只包含執行 Python 程式碼所需的基本設定，而沒有 pip（Python Package Manager）和其他不必要的膨脹。

元資料與映像標籤

為 Docker 映像新增元資料（Metadata）對於大型組織中分享的映像非常有用。官方維護者標籤（Maintainer Label）可以標示建置映像的團隊，方便使用者在出現問題時與團隊聯絡。

證書與安全設定

在建置映像時，證書（Certificate）的管理也是一個重要的環節。將必要的證書複製到映像中，並設定 Python 使用這些證書，可以確保應用程式的安全連線。

非根使用者與安全性

為了提高安全性，我們應該避免以根使用者（Root User）身分執行容器中的程式碼。透過設定一個非根使用者，可以減少遠端程式碼執行（Remote Code Execution, RCE）漏洞的影響。

依賴項管理與程式碼複製

在複製依賴項（Dependencies）時，需要注意檔案的擁有者（Owner）和群組（Group）許可權。可以使用 --chown 標誌來更改檔案的擁有者，確保應用程式可以正常讀取這些依賴項。

此外，在複製原始碼（Source Code）時，應該從外部建置連貫的背景與環境中複製，而不是從測試階段複製。這是因為在測試期間，可能會模擬和動態改變程式碼行為，從外部連貫的背景與環境中複製可以確保複製的是 Git 儲存函式庫it Repository）中的確切程式碼。

入口點與命令

最後，我們需要設定 Docker 映像的入口點（Entrypoint）和命令（Command）。入口點定義了在 Docker 執行時始終執行的內容，而命令則提供了預設引數，除非透過 Docker 執行引數進行覆寫。

為了確保正確的訊號處理（Signal Handling），我們應該始終使用列表而不是完整的字串，以確保引數作為系統呼叫傳遞給核心（Kernel），而不是由 shell 執行。

Docker 映像建置的藝術

建置一個簡單的 Docker 映像需要考慮許多因素，從安全性、效率到快取機制，每個環節都至關重要。雖然這需要投入相當多的心思，但這絕對是值得的。

透過適當的快取機制，我們可以避免每次編譯都需要等待數分鐘。例如，在每次儲存檔案後執行 docker build，由於快取的最佳化，完整的建置可能只需要 1-2 秒。這種快速的反饋迴圈可以幫助開發者更有信心地推播程式碼。

總而言之，最佳化 Docker 映像建置是一個持續改進的過程，透過不斷學習和實踐，我們可以開發出更快速、更安全、更有效率的容器化應用程式。

在軟體開發的浩瀚世界中，提升生產力與確保專案穩定性是每個團隊追求的目標。其中，Docker 作為容器化技術的領頭羊，不僅簡化了佈署流程，更在開發效率與協作上帶來了革命性的改變。本文將探討如何透過精進 Docker 建構流程，最大化其效益，同時應對可能面臨的挑戰。

Docker 如何提升開發效率

Docker 的優勢不僅在於封裝應用程式及其依賴項。它還能顯著改善開發者的工作流程，減少不必要的等待時間。舉例來說，當開發者在等待漫長的構建過程時，往往會分心處理其他事務，導致效率降低。而 Docker 的快速構建能力，能讓開發者更專注於當前任務，減少環境不一致導致的「在我的機器上執行正常」問題。

此外，透過將測試整合到 Docker 建構流程中，可以強制執行程式碼品品檢查，避免開發者為了趕進度而跳過測試。這種嚴格的流程有助於確保程式碼的穩定性與可靠性。

彈性與一致性的權衡

在設定 Docker 建構流程時，一個重要的考量是如何在彈性與一致性之間取得平衡。一種方法是在每個程式碼儲存函式庫義構建過程，允許團隊根據專案需求調整工具與流程。這種方法的優點是，即使舊專案無法快速適應新工具，也能夠以自己的步調進行升級。

然而，這種方法也可能導致重複設定，增加維護成本。為瞭解決這個問題，可以透過容器掃描工具在管道層面上強制執行統一的規範，例如禁止使用過時的工具。

Docker 匯入的挑戰與應對

儘管 Docker 帶來了諸多好處，但匯入過程中也可能面臨挑戰。其中一個主要問題是，團隊成員可能對 Docker 的理解不夠深入，難以自行修改構建過程。這時，團隊需要投入額外的資源進行培訓，或者尋求外部工作者的協助。

此外，過於複雜的 Docker 建構設定也可能增加學習曲線，讓開發者感到沮喪。因此，在設計建構流程時，應盡可能保持簡潔明瞭，並提供清晰的檔案與範例。

Docker 作為現代軟體開發的重要工具，能夠顯著提升開發效率與協作能力。透過最佳化建構流程、平衡彈性與一致性，以及應對匯入挑戰，團隊可以充分發揮 Docker 的潛力，開發更穩定、更可靠的應用程式。然而，匯入 Docker 並非一蹴可幾，需要團隊持續學習與改進，才能真正享受到其帶來的益處。