コンテンツにスキップ

ベストプラクティス

公式のベストプラクティス

Best practices | Docker Docs

最小のイメージをベースにする

最小権限の原則に則って、本番環境のイメージを作成するときに、不要なツールが含まれないイメージをベースにする。

例えばbashが含まれていないイメージをベースにすればその分だけ乗っ取られても安全といえる。

Distolessはアプリケーション実行に最低限のツールを含めたイメージらしい。

マルチステージビルド

マルチステージビルドを取り入れると、Dockerイメージ実行に不要なファイルを減らすことができ、安全性の向上とイメージサイズの減少を見込める。

Node.js & TypeScriptアプリケーションをDockerイメージ化する際、以下のようなものが必要になる。

  • TypeScriptのソースコード
  • TypeScriptコンパイラのパッケージ
  • その他ビルドするのに必要なパッケージ (もしかしたらbashなどのコマンドもあるかもしれない)

しかしプロダクション環境ではビルド済みのJavaScriptさえあればアプリケーションは実行できるので、これらは要らない。

そこで、Dockerfileをビルドのステージとプロダクションのステージに分ける。

以下はマルチステージビルドを考えたNext.jsアプリケーションのDockerfileである。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
# ビルド環境に必要なパッケージを用意したステージ
FROM node:22.19.0 AS development-dependencies-env

# ファイルをコピーする
WORKDIR /app
COPY . /app

# パッケージをインストールする
RUN npm ci

# ビルドする
RUN npx next telemetry disable
RUN npm run build

# プロダクション環境に必要なパッケージだけを用意したステージ
FROM node:22.19.0 AS production-dependencies-env
WORKDIR /app
COPY ./package.json ./package-lock.json /app
RUN npm ci --omit=dev

# プロダクションステージ
FROM node:22.19.0-slim AS production
WORKDIR /app
# npm run startを実行するためにpackage.jsonをコピーする
COPY --chown=node:node --from=production-dependencies-env /app/package.json /app/package-lock.json /app
# アプリケーションの実行に必要なパッケージをコピーする
COPY --chown=node:node --from=production-dependencies-env /app/node_modules /app/node_modules
# Next.jsアプリケーションのビルド結果をコピーする
COPY --chown=node:node --from=development-dependencies-env /app/.next /app/.next
# リソースをコピーする
COPY --chown=node:node --from=development-dependencies-env /app/public /app/public

# ポートを公開する
EXPOSE 3000

# 実行する
WORKDIR /app
USER node
CMD ["npm", "run", "start"]

rootユーザーで実行しない

DockerデーモンやDockerコンテナを非rootユーザーで動かせないか検討する。

DockerでNode.jsを動かすときのベストプラクティス

詳しくは以下で考える。

Rootlessを考える