Перейти на PRO

Какие существуют best practices для написания Dockerfile и управления контейнерами?

Тип вопроса: Devops Вероятность: 10% Категория: Python Разработчик

Ответ

Соблюдение лучших практик при работе с Docker помогает создавать безопасные, легковесные и эффективные образы.

  1. Используйте .dockerignore. Исключайте из контекста сборки ненужные файлы (логи, .git, локальные зависимости), чтобы уменьшить размер образа и ускорить сборку.

  2. Применяйте многоступенчатую сборку (multi-stage builds). Это позволяет использовать один контейнер для сборки артефактов (компиляции, установки зависимостей), а другой, минималистичный, — для их запуска. В итоговый образ попадает только результат, а не сборочное окружение.

    # Этап сборки (builder)
FROM python:3.9 as builder
WORKDIR /app
COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt
COPY . .

# Финальный этап
FROM python:3.9-slim
WORKDIR /app
# Копируем только установленные зависимости и код
COPY --from=builder /app /app
CMD ["python", "main.py"]

  3. Минимизируйте количество слоев. Объединяйте связанные команды RUN с помощью &&, чтобы уменьшить количество слоев в образе. Это делает образы компактнее и ускоряет их передачу.

    # Плохо
RUN apt-get update
RUN apt-get install -y curl

# Хорошо
RUN apt-get update && apt-get install -y curl

  4. Используйте конкретные теги образов. Избегайте тега :latest. Указывайте конкретные версии (например, python:3.9.7-slim), чтобы обеспечить предсказуемость и воспроизводимость сборок.

  5. Запускайте процессы от имени непривилегированного пользователя. Создавайте и используйте пользователя с ограниченными правами с помощью инструкций RUN groupadd... и USER, чтобы повысить безопасность.

  6. Оптимизируйте кеширование слоев. Располагайте инструкции в Dockerfile от наименее изменяемых к наиболее изменяемым. Например, копируйте package.json или requirements.txt и устанавливайте зависимости до копирования остального кода приложения.

  7. Один сервис — один контейнер. Этот подход соответствует философии микросервисов, упрощает масштабирование, мониторинг и управление жизненным циклом каждого компонента системы.

  8. Используйте HEALTHCHECK. Добавьте в Dockerfile инструкцию HEALTHCHECK, чтобы Docker мог проверять, что приложение внутри контейнера не просто запущено, но и работает корректно.

Ответ 18+ 🔞

Слушай, а вот эти ваши лучшие практики по Docker — это ж как инструкция по выживанию в дикой природе, только для контейнеров. Если их не соблюдать, получится не образ, а какая-то раздутая, медленная и дырявая, как решето, хуйня. Пиздец.

Первое, что надо сделать — это .dockerignore завести. Представь, ты собираешь чемодан в отпуск, а туда суёшь старые квитанции за коммуналку, пустые бутылки и соседа дядю Васю. Зачем? Вот и тут так же. Исключи из контекста сборки всякий мусор: логи, папку .git, локальные зависимости (node_modules, __pycache__). Образ станет меньше, а сборка — быстрее. Элементарно, Ватсон, а многие про это забывают, как про запасную жопу.

Дальше — многоступенчатая сборка (multi-stage builds). Это вообще гениальная штука, ёпта. Один контейнер — это как грязный, засаленный цех, где ты собираешь свой продукт: компилируешь, зависимости ставишь. А второй — это уже стерильная, чистая витрина, куда ты кладёшь только готовый товар. Всё лишнее — нахуй. Смотри, как красивше:

# Этап сборки (builder) — тут бардак и творческий беспорядок
FROM python:3.9 as builder
WORKDIR /app
COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt
COPY . .

# Финальный этап — тут чистота и минимализм
FROM python:3.9-slim
WORKDIR /app
# Копируем только установленные зависимости и код, а не весь этот строительный пиздец
COPY --from=builder /app /app
CMD ["python", "main.py"]

Теперь про слои. Каждая команда RUN, COPY, ADD в Dockerfile создаёт новый слой. Их количество надо минимизировать, как количество походов к холодильнику после полуночи. Не пиши так, будто ты получаешь деньги за каждую строчку:

# Плохо — два слоя, два обращения к репозиторию, мать его
RUN apt-get update
RUN apt-get install -y curl

# Хорошо — один слой, один раз всё сделал
RUN apt-get update && apt-get install -y curl

Теги образов. Никогда, слышишь, НИКОГДА не используй :latest в продакшене. Это как сказать "привези мне что-нибудь выпить" — могут и метанолу подлить. Указывай конкретную версию: python:3.9.7-slim. Предсказуемость, воспроизводимость, и нервы целее.

Безопасность. Запускать контейнер от рута — это как оставить ключи от квартиры в двери и уехать в отпуск. Создай непривилегированного пользователя и работай от его имени. Добавь в Dockerfile что-то типа:

RUN groupadd -r appuser && useradd -r -g appuser appuser
USER appuser

Кеширование. Располагай инструкции в Dockerfile с умом. Сначала то, что меняется редко (установка системных пакетов), потом то, что меняется часто (твой код). Например, скопируй сначала requirements.txt или package.json, установи зависимости, а уж потом копируй весь остальной код. Так при изменении кода не придётся заново, блядь, полчаса зависимости качать.

Один сервис — один контейнер. Не пытайся запихнуть в один контейнер базу данных, бэкенд, фронтенд и систему мониторинга. Это противоречит всей философии. Получится не микросервис, а такое монстрообразное чудовище, которое и запустить страшно, и обслуживать — пиздец.

И наконец, HEALTHCHECK. Без него Docker знает только, что контейнер запущен. А жив ли он там внутри? Не завис ли? Не отдаёт ли он вместо JSON страницу с ошибкой 500? HEALTHCHECK позволяет это проверить. Добавь в Dockerfile:

HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 
  CMD curl -f http://localhost:8080/health || exit 1

Вот, собственно, и всё. Следуй этим нехитрым, в общем-то, правилам, и твои образы будут не жирными, тормозными уродами, а быстрыми, безопасными и компактными артефактами. А не следуешь — ну, что ж, тогда пеняй на себя, когда продакшн упадёт в три часа ночи. Чих-пых тебе в сраку.

© ХакСобесов, 2026
support@hacksobesov.com