推荐用多阶段构建:第一阶段用golang:alpine编译(需CGO_ENABLED=0和-ldflags="-s -w"),第二阶段用scratch或alpine:latest运行二进制;避免直接用golang:alpine运行,因其体积大、攻击面宽、启动慢。
为什么用 FROM golang:alpine 编译但不用它运行?
直接用官方 golang:alpine 镜像做运行环境,会导致镜像体积大(含完整 Go 工具链)、攻击面宽、启动慢。真正推荐的做法是「多阶段构建」:第一阶段用 golang:alpine 编译,第二阶段用 scratch 或 alpine:latest 运行二进制。
- 编译阶段必须指定
CGO_ENABLED=0,否则静态链接失败,运行时会缺 libc - 加
-ldflags="-s -w"去掉调试信息和符号表,可减小 30%~50% 体积 - 如果项目依赖 cgo(比如用 SQLite 或某些加密库),第二阶段就得切回
alpine:latest,并安装libc6-compat
Dockerfile 多阶段写法示例(推荐)
FROM golang:1.22-alpine AS builder WORKDIR /app COPY go.mod go.sum ./ RUN go mod download COPY . . RUN CGO_ENABLED=0 GOOS=linux go build -a -ldflags="-s -w" -o myapp . FROM scratch COPY --from=builder /app/myapp /myapp ENTRYPOINT ["/myapp"]
注意:scratch 是空镜像,不带 shell,所以 ENTRYPOINT 必须用数组格式;若需日志重定向或信号转发,换成 alpine:latest 并加 apk add --no-cache ca-certificates(HTTPS 请求需要)。
Go 程序里怎么感知容器环境?
别硬编码端口或路径,用环境变量 + 默认值组合。Docker 启动时传参,Go 代码里用 os.Getenv 读取:
-
PORT:默认"8080",避免写死:8080导致无法覆盖 -
LOG_LEVEL:控制log或zerolog输出级别 - 敏感配置(如数据库密码)不要写进镜像,用
docker run -e DB_PASS=xxx或挂载secret
示例片段:
立即学习“go语言免费学习笔记(深入)”;
port := os.Getenv("PORT")
if port == "" {
port = "8080"
}
http.ListenAndServe(":"+port, nil)
构建与推送前必须验证的三件事
本地 docker build 成功 ≠ 容器能跑。容易漏掉的点:
- 检查二进制是否真静态链接:
docker run --rm -it—— 若输出ldd /myapp not a dynamic executable才安全 - 确认工作目录权限:Alpine 的
scratch没有用户系统,USER指令无效;若程序要写文件,得在FROM alpine阶段addgroup -g 1001 -f appgroup && adduser -S appuser -u 1001 - 健康检查没加?补上
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 CMD wget --quiet --tries=1 --spider http://localhost:8080/health || exit 1
最后提醒一句:go build 的 GOOS 和 GOARCH 必须跟目标容器一致。ARM 容器别忘了加 GOARCH=arm64,否则镜像拉起来直接 exec format error。
