Docker 实战系列(二):Docker 打包进阶篇:设置系统时区、多阶段构建与非 root 用户优化

已于 2025-09-09 14:49:43 修改
阅读量734 收藏 4
点赞数 19
CC 4.0 BY-SA版权
分类专栏: 云原生 文章标签: YAML docker 镜像打包 多阶段构建
于 2025-09-09 14:46:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuodejun/article/details/151361106
#王者杯·14天创作挑战营·第5期#

Docker 实战系列(二):Docker 打包进阶篇:设置系统时区、多阶段构建与非 root 用户优化

上一篇文章中我们手动构建了一个简单的 Python 项目镜像,体验了 Docker 最底层的构建流程。

本篇将继续“纯手撸”思路,介绍进阶优化技巧:
✅ 设置容器时区为上海
✅ 使用多阶段构建优化镜像体积
✅ 避免使用 root 用户,提升容器安全性

一、设置容器时区为上海(Asia/Shanghai)

Alpine 默认不包含时区信息,我们需要安装并配置:

1.1 修改基础镜像 Dockerfile

这是我们原来的基础镜像 Dockerfile:

# 文件:python-base/Dockerfile

FROM alpine:latest

# 安装 python、pip 和时区包
RUN apk add --no-cache python3 py3-pip tzdata

# 设置时区为上海
ENV TZ=Asia/Shanghai
RUN ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime \
    && echo "Asia/Shanghai" > /etc/timezone

# 创建运行目录
WORKDIR /opt/app

CMD ["python3"]

1.2 重新构建基础镜像

cd python-base
docker build -t mypython-base:1.1 .

🔁 **注意版本号要更新!**比如从 mypython-base:1.0 升级为 mypython-base:1.1

二、多阶段构建(multi-stage build)

多阶段构建的核心思想是:构建与运行分离

例如有些构建需要额外依赖(如 gcc、make、dev headers),但这些工具在运行阶段并不需要,可以从最终镜像中去掉,减小体积。

我们用一个包含 C 扩展的 Python 包来模拟:比如 cryptography

2.1 示例:使用多阶段构建的应用 Dockerfile

# 文件:myapp/Dockerfile

# -------- 阶段1:构建依赖(包含构建工具)--------
FROM mypython-base:1.1 as builder

# 安装构建依赖包
RUN apk add --no-cache gcc musl-dev libffi-dev openssl-dev

WORKDIR /build

COPY requirements.txt .

# 安装依赖到临时目录(非全局)
RUN pip3 install --prefix=/python_deps -r requirements.txt

# -------- 阶段2:运行镜像 --------
FROM mypython-base:1.1

# 拷贝构建好的依赖到最终镜像
COPY --from=builder /python_deps /usr/local

WORKDIR /opt/app

COPY . .

EXPOSE 8080

CMD ["python3", "app.py"]

2.2 构建最终应用镜像

docker build -t myflask-app:2.0 .

体积更小、更安全、不带编译工具。

三、使用非 root 用户运行服务

默认情况下,Docker 中的进程以 root 身份运行,带来安全隐患。我们可以添加普通用户并切换运行身份:

3.1 修改应用镜像 Dockerfile

# 在 myflask-app Dockerfile 第二阶段中添加这些命令

# 添加一个非 root 用户
RUN addgroup -S appgroup && adduser -S appuser -G appgroup

# 切换到该用户
USER appuser

# (保持 WORKDIR 在 /opt/app,不需要 chown,Alpine 默认用户有权限)

注意:不能将 WORKDIR 设置为 /root,因为该用户没有权限。

重新构建并运行:

docker build -t myflask-app:2.1 .
docker run -d -p 8080:8080 myflask-app:2.1

四、完整目录结构参考

最终你的目录结构可能如下:

project/
├── python-base/
│   └── Dockerfile              # 构建带时区的 Python 基础镜像
├── myapp/
│   ├── app.py
│   ├── requirements.txt
│   └── Dockerfile              # 多阶段构建 + 非 root 优化

五、小结:进阶优化清单

在这里插入图片描述

六、后续可扩展方向

你还可以继续优化:

  • 使用 .dockerignore 排除不必要文件(如 .gitpycache
  • 集成 healthcheck 检测容器健康状态
  • 将镜像发布到 DockerHub 或私有仓库
  • 在 Kubernetes 中部署该容器

结语
💬 重点提醒 :喜欢请加关注哦 !
📣 更多原创内容、技术干货,欢迎关注「键上江湖」公众号,与你一键相逢!

【商城实战(86)】解锁商城部署新姿势:Docker容器化实战
邓邓子的博客
03-28 979
本文介绍Docker在商城项目中的应用。首先阐述Docker概念、原理,包括镜像、容器、仓库等核心概念,基于Linux内核特性的工作原理及安装方法。接着讲述打造商城项目专属镜像,涵盖uniapp、Element plus前端项目和Spring Boot后端项目的打包,以及Mybatis-plus数据库配置。然后介绍运行容器命令及商城项目部署实战,并说明验证部署成果的方式。最后总结Docker在商城项目中快速部署、保证环境一致、资源隔离等优势,展望其与容器编排工具、云平台结合及加强安全的发展前景。
【云原生之Docker实战】使用Docker部署OrangeHRM人力资源管理系统
jks212454的博客
10-26 1987
【云原生之Docker实战】使用Docker部署OrangeHRM人力资源管理系统
DockerDocker镜像瘦身终极指南:多阶段构建+Alpine优化+分层策略深度解析
夜雨的博客
07-29 1416
DockerDocker镜像瘦身终极指南:多阶段构建+Alpine优化+分层策略深度解析。精简原则:只包含运行应用所需的最小集合;分层策略:低频变动层在前,高频变动层在后;安全优先:定期更新基础镜像和安全扫描;持续优化:将镜像大小纳入CI/CD质量门禁;工具辅助:使用Dive、Trivy等工具持续监控;通过系统化应用这些策略,Docker镜像体积可缩减至原来的10%-20%,同时提升安全性、降低网络传输成本和加速部署流程。
Docker镜像制作实战设置时区系统编码
张存的博客
12-19 1508
Dockerfile 时区
Docker实战进阶】Docker 实战命令大全
MANONGMN的博客
08-11 1988
本文以 Nginx 为例,全面介绍 Docker 容器生命周期管理、监控和文件操作的核心命令。
Docker最佳实践进阶():Docker Compose部署SpringCloud微服务项目
小金的博客
08-15 1617
Docker Compose是一个强大的工具,用于管理和编排多个容器。通过Docker Compose,我们可以轻松部署和管理复杂的应用系统,提高效率并降低出错的风险,下面为大家演示一下如何使用Docker Compose部署多个服务吧。
Docker 更换 MySQL 镜像:备份、迁移与恢复数据的详细流程
专注于全栈开发领域
12-12 1180
本文详细阐述了在更新 MySQL 镜像时,如何进行数据备份、迁移和恢复的全过程。包括使用 mysqldump 备份数据库、备份 MySQL 数据目录、将备份文件复制到宿主机、更新 docker-compose.yml 文件、启动新容器以及验证数据恢复情况的步骤。
Docker Compose 配置详解:构建FastAPI的容器化实践
hhq2002322的博客
05-28 1138
本文详解基于DockerCompose的FastAPI应用容器化编排方案。通过docker-compose.yml文件配置MySQL、Redis、FastAPI、Celery和Nginx五大核心服务,实现包括数据库持久化、异步任务处理、反向代理等完整功能。重点解析了服务间网络通信、数据卷挂载、健康检查等关键配置,并给出生产环境优化建议:敏感信息安全管理(使用DockerSecret)、性能调优参数(连接池配置)以及高可用部署方案(多副本负载均衡)。最后提供了常用操作命令,帮助开发者快速部署和管理容器化应用。
相差8小时:时区设置导致docker中的openGauss时间问题
Shion's bla bla blog
04-30 1149
咱是东8时区=北京/上海/香港。
Docker实战系列:单机Docker部署MySQL主从复制架构全流程
jks212454的博客
09-09 93
Docker实战系列:单机Docker部署MySQL主从复制架构全流程
16.2 Docker多阶段构建实战:LanguageMentor镜像瘦身40%,支持500+并发1.2秒响应!
yonggeit的博客
06-28 74
本文介绍了LanguageMentor Agent的Docker容器化部署方案。通过多阶段构建策略实现开发与生产环境分离,优化镜像分层结构(基础层、依赖层、应用代码层和模型文件层)。针对私有LLaMA 3模型提供了三种集成方案(镜像内置、Volume挂载和运行时下载)并进行对比。详细说明了镜像构建验证流程、安全加固措施和瘦身策略,包括非root用户运行、Alpine基础镜像和UPX压缩等技术。最后提供了CUDA兼容性和时区配置等常见问题的解决方案,实现开发生产环境一致性、快速扩展能力和资源利用率提升,经企业
Docker存储卷(Volume)核心概念、类型与操作指南
2302_80105876的博客
09-09 6624
存储卷是Docker容器中用于持久化数据的独立文件系统区域,其生命周期独立于容器,可理解为“共享目录”或“外部硬盘”。它解决数据丢失风险并实现容器间数据交互。 存储卷分类 管理卷:由Docker自动创建(默认在/var/lib/docker/volumes),适合临时存储,用户无法指定宿主机目录。 绑定卷:用户指定宿主机与容器的映射路径,适合配置文件共享,但移植性低。 临时卷:数据仅存于内存(Linux专用),容器停止后消失,适合高性能临时存储。
Docker基础篇02:Docker安装
wangzhilong1996的博客
09-10 1017
本文介绍了Docker的基本概念、架构及在CentOS7上的安装步骤。Docker镜像(只读模板)、容器(运行实例)和仓库(镜像存储)三部分组成,采用C/S架构,通过namespace和cgroup实现资源隔离与限制。与虚拟机相比,Docker更轻量级且启动更快。安装步骤包括检查系统版本、卸载旧版本、安装gcc工具、配置稳定镜像仓库等。文章还对比了容器与虚拟机的区别,并解释了Docker的工作原理。
Nginx运维之路(Docker多段构建新版本并增加第三方模块)
会飞的小蛮猪博客
09-09 1095
喜大普奔,前两天发现Nginx竟然自带支持了ACME功能,让我很想测试一下,但是发现手头没有资源让我测试,忽然我想到可以用docker构建nginx然后测试ACME功能,在这个过程中发现原来官方Nginx镜像并没有集成ACME插件,只有少的可怜的几个插件测试不了acme,这怎么能忍,所以我就想是否能够自行编译第三方插件并加入到新Nginx镜像中,那么话不多说开干!喜欢折腾的朋友也可以加群一起讨论哦!
Docker 快速部署单节点 NiFi 1.27
ray的博客
09-09 490
本文介绍了使用Docker快速部署Apache NiFi单节点的方法。通过拉取官方1.27版本镜像,执行简单的docker run命令即可启动容器,其中包含端口映射、数据持久化等关键配置说明。文中详细说明了如何修改默认端口、挂载数据卷实现持久化存储,以及如何自定义配置文件。最后提供了验证部署的方法,包括访问Web界面和查看容器日志。该部署方案简单高效,适合快速搭建NiFi开发测试环境。
Docker】常用帮忙、镜像、容器、其他命令合集(2)
weixin_48618536的博客
09-11 1008
紧随上期博文【Docker】常用帮忙、镜像、容器、其他命令合集(1),继续进行容器、其他两部分的命令记录。 列出所有的运行的容器 可以看出用Ctrl+P+Q退出,容器是依旧在运行的。这里有2个要点,首先对进行分析;其次介绍创建了容器后,退出再进入,exit的实际使用情况。采用可以实现再次进入已创建的容器,进行操作,此时输入指令,理论上来说,应该是直接容器停止并退出,但是用查看,发现依旧是运行中。 采用可以实现一个新容器的创建,此时输入指令,可以正常退出。 采用可以实现再次进入已创建的容器,进行操作,
Docker(⑤Kali Linux-HexStrike AI安装)
最新发布
hongsegeming的博客
09-12 139
查看当前已安装的发行版。
wikijs如何增加全文搜索的功能,增加对应的索引(Win11环境+docker+数据库elasticSearch)
wodongx123的博客
09-11 597
本文详细介绍了在Win11 Docker环境中为Wiki.js配置ElasticSearch全文搜索功能的完整流程。内容包括:索引功能原理说明(类比图书馆检索系统)、ElasticSearch 8.18.0安装IK中文分词器、创建/删除索引的具体curl指令及参数解析(使用ik_smart分析器),以及Wiki.js 2.5.307后台的搜索引擎配置方法(包括主机地址、索引名等关键参数设置)。文章提供了从零开始搭建搜索系统的完整指导,并建议通过DeepSeek等AI工具辅助理解复杂指令。适合已完成基础环境搭
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

derek2026

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值