image-management
SKILL.md
Docker 镜像管理
概述
镜像构建、多阶段构建、镜像优化等技能。
镜像操作
查看镜像
# 列出镜像
docker images
docker images -a # 包含中间层
docker images --format "table {{.Repository}}\t{{.Tag}}\t{{.Size}}"
# 镜像详情
docker inspect image_name
docker history image_name # 构建历史
# 搜索镜像
docker search nginx
拉取与推送
# 拉取镜像
docker pull nginx
docker pull nginx:1.20
docker pull registry.example.com/myapp:latest
# 推送镜像
docker push myrepo/myimage:tag
# 登录仓库
docker login
docker login registry.example.com
docker logout
镜像标签
# 添加标签
docker tag source_image:tag target_image:tag
docker tag myapp:latest myrepo/myapp:v1.0
# 删除镜像
docker rmi image_name
docker rmi -f image_name # 强制删除
docker image prune # 删除悬空镜像
docker image prune -a # 删除未使用镜像
导入导出
# 导出镜像
docker save -o myimage.tar myimage:tag
docker save myimage:tag | gzip > myimage.tar.gz
# 导入镜像
docker load -i myimage.tar
docker load < myimage.tar.gz
镜像构建
基础构建
# 构建镜像
docker build -t myimage:tag .
docker build -t myimage:tag -f Dockerfile.prod .
# 指定构建参数
docker build --build-arg VERSION=1.0 -t myimage:tag .
# 不使用缓存
docker build --no-cache -t myimage:tag .
# 指定目标阶段
docker build --target builder -t myimage:builder .
Dockerfile 基础
# 基础镜像
FROM node:18-alpine
# 元数据
LABEL maintainer="your@email.com"
LABEL version="1.0"
# 设置工作目录
WORKDIR /app
# 复制文件
COPY package*.json ./
COPY . .
# 运行命令
RUN npm install
# 环境变量
ENV NODE_ENV=production
ENV PORT=3000
# 暴露端口
EXPOSE 3000
# 启动命令
CMD ["node", "app.js"]
多阶段构建
# 构建阶段
FROM node:18-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build
# 生产阶段
FROM node:18-alpine AS production
WORKDIR /app
COPY /app/dist ./dist
COPY /app/node_modules ./node_modules
EXPOSE 3000
CMD ["node", "dist/main.js"]
Go 应用多阶段构建
# 构建阶段
FROM golang:1.21-alpine AS builder
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -o main .
# 生产阶段
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY /app/main .
EXPOSE 8080
CMD ["./main"]
镜像优化
减小镜像体积
# 1. 使用精简基础镜像
FROM alpine:latest
FROM node:18-alpine
FROM python:3.11-slim
# 2. 合并 RUN 命令
RUN apt-get update && \
apt-get install -y --no-install-recommends \
package1 \
package2 && \
rm -rf /var/lib/apt/lists/*
# 3. 使用 .dockerignore
# .dockerignore 文件
node_modules
.git
*.md
Dockerfile
.dockerignore
# 4. 多阶段构建只复制必要文件
COPY /app/dist ./dist
构建缓存优化
# 先复制依赖文件,利用缓存
COPY package*.json ./
RUN npm ci
# 再复制源代码
COPY . .
RUN npm run build
安全最佳实践
# 1. 使用非 root 用户
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser
# 2. 固定版本
FROM node:18.17.0-alpine3.18
# 3. 扫描漏洞
# docker scan myimage:tag
# 4. 最小权限
RUN chmod 500 /app/main
私有仓库
搭建私有仓库
# 运行 Registry
docker run -d -p 5000:5000 --name registry registry:2
# 推送到私有仓库
docker tag myimage:tag localhost:5000/myimage:tag
docker push localhost:5000/myimage:tag
# 拉取
docker pull localhost:5000/myimage:tag
配置认证
# 创建密码文件
htpasswd -Bc /auth/htpasswd admin
# 运行带认证的 Registry
docker run -d -p 5000:5000 \
-v /auth:/auth \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \
registry:2
常见场景
场景 1:分析镜像层
# 查看镜像层
docker history myimage:tag --no-trunc
# 使用 dive 分析
docker run --rm -it \
-v /var/run/docker.sock:/var/run/docker.sock \
wagoodman/dive:latest myimage:tag
场景 2:清理磁盘空间
# 查看磁盘使用
docker system df
docker system df -v
# 清理未使用资源
docker system prune # 清理悬空资源
docker system prune -a # 清理所有未使用资源
docker system prune --volumes # 包括卷
场景 3:镜像漏洞扫描
# Docker Scout
docker scout cves myimage:tag
# Trivy
docker run --rm \
-v /var/run/docker.sock:/var/run/docker.sock \
aquasec/trivy image myimage:tag
故障排查
| 问题 | 排查方法 |
|---|---|
| 构建失败 | 检查 Dockerfile 语法、网络 |
| 镜像过大 | 使用多阶段构建、精简基础镜像 |
| 拉取失败 | 检查网络、认证、镜像名 |
| 缓存失效 | 检查 COPY 顺序、文件变更 |
Weekly Installs
14
Repository
chaterm/terminal-skillsGitHub Stars
28
First Seen
Jan 24, 2026
Security Audits
Installed on
opencode13
gemini-cli12
github-copilot11
codex11
claude-code10
cursor10