Docker 中的多阶段构建（multi-stage build）有什么优势？

Docker 多阶段构建的优势

Docker 的多阶段构建（multi-stage build）是一种优化镜像大小和构建过程的技术，主要优势包括：

1. 显著减小最终镜像体积

• 只保留必要内容：可以仅将编译后的可执行文件复制到最终镜像，而不包含编译工具链、中间文件等
• 减少层数：避免安装开发依赖导致的多余镜像层

2. 提高安全性

• 减少攻击面：最终镜像不包含编译器、调试工具等可能被利用的组件
• 不暴露构建环境：构建过程中的临时文件和敏感信息不会留在最终镜像中

3. 优化构建过程

• 分阶段缓存：可以更精细地控制构建缓存，加速重复构建
• 并行构建：不同构建阶段可以并行执行（部分情况）

4. 简化构建流程

• 单 Dockerfile 管理：无需维护多个 Dockerfile 或复杂构建脚本
• 清晰的阶段划分：使构建过程更易理解和维护

示例对比

传统单阶段构建

FROM golang:1.21 as builder
WORKDIR /app
COPY . .
RUN go build -o myapp .

# 最终镜像包含整个Go工具链和源代码
FROM debian:bullseye-slim
COPY --from=builder /app/myapp /usr/local/bin/myapp
CMD ["myapp"]

多阶段构建优化版

# 第一阶段：构建阶段
FROM golang:1.21 as builder
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-w -s" -o /myapp

# 第二阶段：运行阶段（从空白镜像开始）
FROM scratch
COPY --from=builder /myapp /myapp
# 可选：添加CA证书等必要文件
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
CMD ["/myapp"]

注意：在这个优化示例中，最终镜像基于scratch(空镜像)，只包含编译好的二进制文件和必要的CA证书，体积可以缩小到几MB，而包含完整Go环境的镜像通常超过1GB。

多阶段构建特别适合需要编译的语言(如Go、Java、C++等)，但对于解释型语言(如Python、Node.js)也有优化空间。