在过去的五年里,Node.js 一直是严肃程序员的最爱。最大吞吐量的 JAVAScript 运行时环境是一个免费的开源程序,旨在提高JavaScript在多个平台上的性能。
由于其事件驱动、非阻塞 I/O 方法,Node.js 体积小且处理请求速度快,使其成为数据密集型、实时和分布式应用程序的绝佳选择。
开发人员越来越多地转向 node.js 应用程序优化服务;因此,简化跨平台应用程序的设计和发布过程非常重要。那么,让我们进入文章的上下文。
这里列出了七种容器化 node.js 应用程序的方法,所以让我们简要地看一下它们。
创建Docker映像时,应始终包含用于定义版本信息、预期目标(例如生产或测试)、稳定性或其他用于跨环境分发应用程序的相关信息的有用标签。
在开发环境之外,您不应依赖 Docker 自动下载的最新标签。使用最新版本的程序可能会导致奇怪甚至有害的影响。
假设您不断更新到最新版本的图像。在这种情况下,最终,其中一个更新肯定会包含一个全新的构建或未经测试的代码,这将导致您的应用程序停止按预期运行。
以针对该节点的这个示例 Dockerfile 为例:
# Create image based on the official Node image from dockerhubFROM node:lts-buster # Create app directoryWORKDIR /usr/src/app # Copy dependency definitionsCOPY package.json ./package.jsonCOPY package-lock.json ./package-lock.json # Install dependencies#RUN npm set progress=false # && npm config set depth 0 # && npm i installRUN npm ci # Get all the code needed to run the appCOPY . . # Expose the port the app runs inEXPOSE 3000 # Serve the appCMD ["npm", "start"]
您不应使用 node:latest,而应使用 lts-buster Docker 映像。考虑到 lts-buster 是静态图片,这种方法可能更可取。
一个单一的 Docker 基础镜像可以在构建的多个阶段使用,包括编译、打包和 单元测试。但是,执行程序的实际代码存储在不同的映像中。
由于完成的图像没有任何开发或调试工具,因此它会更安全并且占用更少的空间。此外,如果您使用 Docker 的多阶段构建过程,您可以确定您的构建将既高效又可重复。
您可以在 Dockerfile 中创建多个阶段来控制构建该映像的方式。您可以使用多层方法容器化您的 Node 应用程序。
应用程序的不同部分,如代码、资产,甚至快照依赖项,可能位于构成程序的许多层的每一层中。如果我们希望为我们的应用程序创建一个独立的图像怎么办?
要查看此操作的示例 Dockerfile,请检查以下内容:
FROM NODE:LTS-BUSTER-SLIM AS DEVELOPMENT WORKDIR /USR/SRC/APP COPY PACKAGE.JSON ./PACKAGE.JSONCOPY PACKAGE-LOCK.JSON ./PACKAGE-LOCK.JSONRUN NPM CI COPY . . EXPOSE 3000 CMD [ "NPM", "RUN", "DEV" ] FROM DEVELOPMENT AS DEV-ENVSRUN <<EOFAPT-GET UPDATEAPT-GET INSTALL -Y --NO-INSTALL-RECOMMENDS GITEOF # INSTALL DOCKER TOOLS (CLI, BUILDX, COMPOSE)COPY --FROM=GLOURSDOCKER/DOCKER / /CMD [ "NPM", "RUN", "DEV" ]
我们首先在 node:lts-buster-slim 语句中添加一个 AS 开发标签。这使我们可以在其他构建阶段中引用此构建阶段。接下来,我们添加一个标记为 dev-envs 的新开发阶段。我们将使用这个阶段来运行我们的开发。
现在,让我们重建我们的形象并运行我们的开发。为了仅执行开发构建阶段,我们将使用与之前相同的 docker build 命令,但这次我们将使用 —target 开发参数。
docker build -t node-docker --target dev-envs
为了创建现代服务,程序员经常使用已有的第三方软件。但是,在将第三方软件集成到您的项目中时一定要谨慎,因为它可能存在安全漏洞。
使用经过验证的图像源和保持警惕的容器监控都是有用的安全措施。Docker Desktop 会通知您对新创建的 node:lts-buster-slim Docker 镜像进行安全检查。
让我们借助 Docker Desktop 的 Snyk 插件看看我们的 Node.js 应用程序。首先在您的 mac、windows 或 linux PC 上设置 Docker Desktop 4.8.0+。接下来,选择设置 > 扩展下的允许 Docker 扩展复选框。
之后,您可以通过选择左侧栏中的“添加扩展”选项在扩展市场中搜索 Snyk。
放入 Snyk 并登录网络:
lts-buster-slim 在“选择图像名称”框中键入“Node Docker 官方图像”。为了开始扫描,您需要登录到 Docker Hub。如果您没有帐户,请不要担心;制作一个简单、快速且完全免费。
使用 Docker Desktop,扫描结果如下所示:
在此扫描期间,Snyk 发现了 70 个不同严重程度的漏洞。确定它们后,您可以开始修复它们以提高您的声誉。
不仅如此。在 Dockerfile 上使用 docker scan 命令将执行漏洞扫描:
HEALTHCHECK 指令指示 Docker 如何检查容器的健康状况。例如,这可用于确定 Web 服务器是否处于无限循环中并且无法接受新连接,即使服务器进程仍处于活动状态。
# syntax=docker/dockerfile:1.4 FROM node:lts-buster-slim AS development # Create app directoryWORKDIR /usr/src/app COPY package.json ./package.jsonCOPY package-lock.json ./package-lock.jsonRUN npm ci COPY . . EXPOSE 3000 CMD [ "npm", "run", "dev" ] FROM development as dev-envsRUN <<EOFapt-get updateapt-get install -y --no-install-recommends gitEOF RUN <<EOFuseradd -s /bin/bash -m vscodegroupadd dockerusermod -aG docker vscodeEOF HEALTHCHECK CMD curl --fail http://localhost:3000 || exit 1 # install Docker tools (cli, buildx, compose)COPY --from=gloursdocker/docker / /CMD [ "npm", "run", "dev" ]
在生产阶段,应用程序通常由 Kube.NETes 或服务结构等编排器管理。HEALTHCHECK 允许您通知编排器有关容器的健康状况,这可能用于基于配置的管理。
这是一个很好的例子:
BACKEND: CONTAINER_NAME: BACKEND RESTART: ALWAYS BUILD: BACKEND VOLUMES: - ./BACKEND:/USR/SRC/APP - /USR/SRC/APP/NODE_MODULES DEPENDS_ON: - MONGO NETWORKS: - EXPRESS-MONGO - REACT-EXPRESS EXPOSE: - 3000 HEALTHCHECK: TEST: ["CMD", "CURL", "-F", "HTTP://LOCALHOST:3000"] INTERVAL: 1M30S TIMEOUT: 10S RETRIES: 3 START_PERIOD: 40S
我们建议在与 Dockerfile 相同的文件夹中创建一个 .dockerignore 文件以缩短构建时间。本指南需要您的 .dockerignore 文件中的一行:
NODE_MODULES
由于这一行,包含 Maven 输出的节点模块目录未包含在 Docker 构建上下文中。拥有一个组织良好的 .dockerignore 文件有很多好处,但目前,这个简单的文件就足够了。
接下来,我将描述构建环境及其如此重要的原因。可以使用 Docker build 命令通过组合 Dockerfile 和“上下文”来创建 Docker 映像。在此设置中,您所做的一切都适用于您刚才给我的目录结构或 URL。这些文件中的任何一个都可以在构建过程中使用。
同时,开发人员在编译上下文中进行操作。Mac、Windows 或 Linux 上的目录。运行该程序所需的一切都可以在此文件夹中找到,包括源代码、设置、库和插件。
如果您提供 .dockerignore 文件,我们可能会在创建新图像时使用它来跳过项目的某些部分:代码、配置文件、库、插件等。例如,如果您想将节点模块目录保留在外面在您的构建中,您可以通过将以下内容添加到您的 .dockerignore 文件来实现。
在用户许可的情况下运行应用程序更安全,因为这有助于减少漏洞。即使使用 Docker 容器。Docker 容器及其内容会自动获得对主机系统的根访问权限。这就是为什么建议永远不要以 root 用户身份运行 Docker 容器。
这可以通过在 Dockerfile 中包含某些 USER 指令来实现。在执行映像以及任何未来的 RUN、CMD 或 ENTRYPOINT 指令时,USER 命令指定所需的用户名(或 UID)以及可选的用户组(或 GID):
FROM NODE:LTS-BUSTER AS DEVELOPMENT WORKDIR /USR/SRC/APP COPY PACKAGE.JSON ./PACKAGE.JSONCOPY PACKAGE-LOCK.JSON ./PACKAGE-LOCK.JSON RUN NPM CI COPY . . EXPOSE 3000 CMD ["NPM", "START"] FROM DEVELOPMENT AS DEV-ENVSRUN <<EOFAPT-GET UPDATEAPT-GET INSTALL -Y --NO-INSTALL-RECOMMENDS GITEOF RUN <<EOFUSERADD -S /BIN/BASH -M VSCODEGROUPADD DOCKERUSERMOD -AG DOCKER VSCODEEOF# INSTALL DOCKER TOOLS (CLI, BUILDX, COMPOSE)COPY --FROM=GLOURSDOCKER/DOCKER / /CMD [ "NPM", "START" ]
在 Docker 中为 Node.js 创建的临时存储空间。它们很容易预防、销毁,然后更换或重新利用。可以通过向进程提供 SIGTERM 信号来终止容器。
为了充分利用这个短暂的机会窗口,您的应用程序必须能够立即处理传入的请求并释放任何相关资源。
另一方面,Node.js 对于成功关闭应用程序至关重要,因为它从操作系统接收并传递 SIGINT 和 SIGTERM 等信号。由于 Node.js,您的应用程序可以选择如何响应它接收到的信号。
如果你不为他们编程或使用一个模块,你的应用程序将无法正常终止。但是,它将继续正常运行,直到 Docker 或Kubernetes由于超时而终止它。
如果您无法修改应用程序的代码,您仍然可以在 Dockerfile 中使用 docker run —init 或 tini init 选项。但是,建议您提供代码来管理适当的信号处理以实现正常关闭。
在本教程中,我们涵盖了与 Docker 镜像优化相关的广泛主题,从构建可靠的 Dockerfile 到使用 Snyk 检查漏洞。制作更好的 Node.js 应用程序并不难。如果你掌握了一些基本技能,你的状态就会很好。