使用scratch构建最小化Go程序的docker image

由于Golang编译之后的文件是二进制，而scratch是docker最基础的空image，所以可以使用scratch来构建Go程序的docker image，使得最终构建的image最小化.

构建image过程分为两步：

1. 在Go基础image中build.
1. 将build好的二进制文件拷贝到scratch image中。

无需cgo的程序

对于无需cgo交叉编译的程序，使用scratch来作为最终运行的基础image非常合适。

首先，选择合适版本的golang基础image来build，这里没有必要选择更小的golang alpine，build过程中pull一般会有缓存所以pull速度差别不大，此外alpine中没有git和ssl，我们在构建image过程中都有可能用到，况且alpine也不会影响最终image大小。

FROM golang:1.13 AS builder

禁掉cgo交叉编译，我们服务器一般为linux amd64，build二进制文件。

RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -ldflags="-w -s" -o /bin/appmain main.go

对于绝大多数go程序而言，是无需root来运行，根据docker best practice，使用non-root来运行程序能够带来更好的安全性，所以我们使用non-root用户来运行，创建一个appuser，之后再拷贝到scratch运行image中。（scratch是空image，所以在builder中创建user，再拷贝。）

# 创建appuser
RUN groupadd -r appuser && useradd --no-log-init -r -g appuser appuser
...
# 拷贝appuser到scratch
COPY --from=builder /etc/passwd /etc/passwd
... 
# 选择appuser为默认程序运行用户
USER appuser

多数程序可能会用到ssl，我们将builder中的crt拷贝一下即可。（如果builder是alpine，不能拷贝，需要在alpine中apk先预装一下。）

COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/

完整版Dockerfile

FROM golang:1.13 AS builder
COPY . /app
WORKDIR /app
RUN groupadd -r appuser && useradd --no-log-init -r -g appuser appuser
RUN go mod download
RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -ldflags="-w -s" -o /bin/appmain main.go

FROM scratch
COPY --from=builder /etc/passwd /etc/passwd
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
COPY --from=builder /bin/appmain /bin/appmain
USER appuser
CMD [ "/bin/appmain" ]

需要cgo的程序

有些Go程序是需要cgo交叉编译的，例如ethereum. 对于需要cgo的程序，相对于scratch，更推荐使用alpine来作为基础image，原因是alpine中带有libc，并且体积也才2MB多。而scratch中没有，当然也可以在builder中ldd依赖并拷贝到scratch中。只是用alpine会更方便一些。

在alpine中只要软链接一下就可以使用。

RUN mkdir /lib64 && ln -s /lib/libc.musl-x86_64.so.1 /lib64/ld-linux-x86-64.so.2

此外，创建non-root用户的步骤也没有必要在builder中进行了，可以直接在alpine中创建。

RUN addgroup -S appuser && adduser -S -G appuser appuser

完整版Dockerfile

FROM golang:1.13 AS builder
COPY . /app
WORKDIR /app
RUN go mod download
RUN CGO_ENABLED=1 GOOS=linux GOARCH=amd64 go build -ldflags="-w -s" -o /bin/appmain main.go

FROM alpine:3.10
RUN mkdir /lib64 && ln -s /lib/libc.musl-x86_64.so.1 /lib64/ld-linux-x86-64.so.2
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
COPY --from=builder /bin/appmain /bin/appmain
RUN addgroup -S appuser && adduser -S -G appuser appuser
USER appuser
CMD [ "/bin/appmain" ]

最后编辑于：2019.11.22 11:24:03