使用scratch构建最小化Go程序的docker image

Posted 2023-03-16

参考技术A 由于Golang编译之后的文件是二进制，而scratch是docker最基础的空image，所以可以使用scratch来构建Go程序的docker image，使得最终构建的image最小化.

构建image过程分为两步：

对于无需cgo交叉编译的程序，使用scratch来作为最终运行的基础image非常合适。

首先，选择合适版本的golang基础image来build，这里没有必要选择更小的golang alpine，build过程中pull一般会有缓存所以pull速度差别不大，此外alpine中没有git和ssl，我们在构建image过程中都有可能用到，况且alpine也不会影响最终image大小。

禁掉cgo交叉编译，我们服务器一般为linux amd64，build二进制文件。

对于绝大多数go程序而言，是无需root来运行，根据docker best practice，使用non-root来运行程序能够带来更好的安全性，所以我们使用non-root用户来运行，创建一个appuser，之后再拷贝到scratch运行image中。（scratch是空image，所以在builder中创建user，再拷贝。）

多数程序可能会用到ssl，我们将builder中的crt拷贝一下即可。（如果builder是alpine，不能拷贝，需要在alpine中apk先预装一下。）

完整版Dockerfile

有些Go程序是需要cgo交叉编译的，例如ethereum. 对于需要cgo的程序，相对于scratch，更推荐使用alpine来作为基础image，原因是alpine中带有libc，并且体积也才2MB多。而scratch中没有，当然也可以在builder中ldd依赖并拷贝到scratch中。只是用alpine会更方便一些。

在alpine中只要软链接一下就可以使用。

此外，创建non-root用户的步骤也没有必要在builder中进行了，可以直接在alpine中创建。

完整版Dockerfile