使用官方的基礎鏡像來構建應用

不要使用從整個操作系統從頭安裝的模式來構建應用，比如我們使用node環境的時候，我們應該直接使用node鏡像，而不是使用centos或者ubuntu鏡像，然后自己安裝node環境。

指定鏡像的版本

如果我們不指定進行的版本的話，它默認采用的就是最新版本，這樣的每次構建的時候，可能會導致和之前的版本不一致，所以對此才去的方法就是采用指定版本，這樣每次構建的版本都是統一的。

使用最小化的操作系統

linux的操作系統有很多版本，比如centos或者ubuntu等等，但是它們對于我們的應用來說都顯得太大，太臃腫，因此我們推薦采用更小的系統，比如alpine等。

優化鏡像層的緩存

在Dockerfile中找到的每個命令都會在創建一個新層。每一層都包含對執行命令之前的狀態和執行命令之后的狀態的映像的文件系統更改。

RUN命令允許您在 Docker 映像中執行命令。如果該RUN命令生成的圖層已經存在于緩存中，則該RUN 命令只能執行一次。

Dockerfile中的COPY命令允許您將一個或多個外部文件導入 Docker 映像。執行時，這些COPY命令可確保您擁有所有相關外部文件的最新版本。

如果第一個COPY命令上的所有外部文件的內容都相同，將使用層緩存，并且所有后續命令直到下一個ADD或COPY命令將使用層緩存。

但是，如果一個或多個外部文件的內容不同，那么 所有后續命令都將在不使用層緩存的情況下執行。

為了利用 Docker 的層緩存，您應該 Dockerfile以一種經常更改的步驟(例如COPY位于Dockerfile文件末尾附近)的方式來構建您的結構。這將確保不會不必要地重建與執行相同操作有關的步驟。

學會使用.dockerignore 文件

使用 .dockerignore 有很多優勢。它可以幫助減少 Docker 鏡像大小、加速docker build并避免意外密碼的泄露.

Docker 是一個客戶端-服務器應用程序，它由 Docker 客戶端和 Docker 服務器(也稱為 Docker 守護進程)組成。Docker 客戶端命令行工具與 Docker 服務器對話并要求它做事。其中之一是 Docker build：構建一個新的 Docker 映像。Docker 服務器可以與客戶端運行在同一臺機器上，也可以在虛擬機中運行，也可以是本地、遠程或云中的。

為了創建一個新的 Docker 鏡像，Docker 服務器需要訪問文件，你想從中創建 Docker 鏡像。因此，您需要以某種方式將這些文件發送到 Docker 服務器(因為記住 Docker 服務器可以是另一臺遠程機器)。這些文件是 Docker構建上下文。Docker 客戶端將所有構建上下文文件打包到一個tar存檔中，并將此存檔上傳到 Docker 服務器。默認情況下，客戶端將獲取當前工作目錄中的所有文件(和文件夾)并將它們用作構建上下文。

.dockerignore文件是工具，它可以幫助您定義您真正需要的 Docker構建上下文。使用此文件，您可以為文件和文件夾指定這些規則的忽略規則和例外，它們不會包含在構建上下文中，因此不會打包到存檔中并上傳到 Docker 服務器。

使用多步構建工具，構建和運行所需要的環境不同

通過多階段構建，您可以在 Dockerfile 中使用多個FROM語句。每條FROM指令都可以使用不同的基礎鏡像，它們中的每一條都開始了構建的新階段。您可以選擇性地將文件從一個階段復制到另一個階段，從而在其中留下您不想要的一切。

使用最小權限用戶

如果 Dockerfile 中沒有指定 USER ，Docker 默認將會以超級用戶 root 的身份運行容器，容器所屬的命名空間(namespace)因此鏡像為 root 用戶所擁有，這意味著容器有可能獲取 Docker 宿主系統的超級管理權限。不僅如此，以 root 用戶身份運行容器，還擴大了攻擊面，如果容器應用中存在安全漏洞，很容易造成權限提升。

在實踐中，一般不需要容器擁有 root 權限。為了盡量降低安全威脅，創建專門的用戶和用戶組，在 Dockerfile 中使用 USER 指定用戶，確保以最小權限的用戶身份運行容器應用。

如果基礎鏡像中不包含專門的用戶，那么就在 Dockerfile 中直接創建一個普通用戶。

掃描鏡像是否有安全問題

docker 本地鏡像的漏洞掃描允許開發人員和開發團隊查看容器鏡像的安全狀態，并采取措施修復掃描期間發現的問題，從而實現更安全的部署。Docker Scan 在 Snyk 引擎上運行，為用戶提供對其本地 Dockerfile 和本地映像的安全狀況的可見性。

用戶通過 CLI 觸發漏洞掃描，并使用 CLI 查看掃描結果。掃描結果包含常見漏洞和暴露 (CVE) 列表、源(例如操作系統包和庫)、引入它們的版本以及用于修復發現的 CVE 的推薦修復版本(如果可用).

通常，鏡像掃描通過解析容器鏡像文件中定義的包或其他依賴項來工作，然后檢查這些包或依賴項中是否存在任何已知漏洞。