1.选择正确的基本映像
必须为您的Node.js应用程序选择正确的基础Docker映像。您应该始终尝试使用正式的Docker映像-因为它们具有出色的文档,使用最佳实践并且是针对大多数常见用例设计的。
如果您查看官方的Node.js Docker映像,仍然有很多映像可供选择。我总是选择可以运行Node.js应用程序的最小尺寸的图像。
当前,如果要在64位Linux上运行Node.js应用程序,则可以使用以下选项:
- node:stretch (latest) → 344.36 MB
- node:stretch-slim → 65.29 MB
- node:lts-buster-slim → 57.57 MB
- node:lts-buster → 321.14 MB
- node:13.5.0-alpine3.11 → 37.35 MB
负责维护Node.js镜像的Node.js Docker团队基于Debian上的stretch和buster镜像。 Docker团队将Alpine镜像基于Alpine Linux发行版,Alpine Linux发行版是具有加固内核的最小Linux发行版。我的建议是,如果您的应用程序在Alpine上运行,则应使用Alpine镜像作为基本镜像,因为这可能会导致镜像尺寸最小。
2.使用非root容器用户
默认情况下,您的应用以root身份在容器内运行。 但是,容器中的root与主机上的root不同。 Docker容器中的用户仍然受到限制。 但是,为了进一步减少安全攻击面,希望您尽可能以非特权用户身份运行容器。
大多数官方映像已经在其Docker映像中创建了非root用户。 例如,参见Alpine Dockerfile