Prácticas recomendadas para Dockerfile: creación de imágenes Docker más ágiles, rápidas y seguras

Docker se ha convertido en una herramienta indispensable en el desarrollo de software moderno, permitiendo a los equipos crear, distribuir y ejecutar aplicaciones con una consistencia y facilidad sin precedentes. En el núcleo de esta magia de la contenedorización se encuentra Dockerfile, un script simple pero potente que actúa como modelo para crear imágenes de Docker.

Crear un proceso de compilación eficaz de Dockerfiles es más que un simple ejercicio técnico; es el camino hacia ciclos de desarrollo más rápidos, aplicaciones con un tamaño más reducido y seguro, e implementaciones más fiables. Tanto si eres nuevo en Docker como si buscas perfeccionar tus habilidades, esta guía te guiará por los fundamentos de la creación de Dockerfiles prácticos, eficientes y seguros.

Comprensión del ecosistema Docker: un repaso rápido

Antes de sumergirnos en Dockerfiles, veamos brevemente los conceptos clave de Docker:

• Imágenes: Una imagen es un paquete ligero, independiente y ejecutable que incluye todo lo necesario para ejecutar el software, incluyendo el código, un entorno de ejecución, bibliotecas, variables de entorno y archivos de configuración. Las imágenes son plantillas inmutables.
• Contenedores: Un contenedor es una instancia ejecutable de una imagen. Puede crear, iniciar, detener, mover o eliminar contenedores. Proporcionan entornos aislados para sus aplicaciones.
• Dockerfile: Este es nuestro enfoque. Un Dockerfile es un documento de texto que contiene una secuencia de comandos que Docker utiliza para ensamblar una imagen automáticamente.
• Docker Hub/Registros: son repositorios para almacenar y compartir imágenes de Docker, similares a GitHub para el código.

Un Dockerfile bien escrito tiene como objetivo producir una imagen que sea lo más sencilla, rápida de construir y segura posible.

Explicación de las banderas de compilación de Docker

• -t myapp:1.0: Esta bandera etiqueta la imagen con un nombre (myapp) y una versión (1.0). El etiquetado facilita el control de versiones y facilita la referencia a compilaciones de imágenes específicas posteriormente, especialmente al implementar o enviar a un registro.

• . (punto): Esto se refiere al contexto de compilación, el directorio donde Docker debe buscar el Dockerfile y cualquier otro archivo necesario durante la compilación (por ejemplo, archivos para COPIAR en la imagen).
  Docker comprime y envía el contenido de este directorio al demonio de Docker. Es importante tener en cuenta que solo se puede acceder a los archivos dentro del contexto de compilación durante el proceso de compilación.

Instrucciones esenciales de Dockerfile: los componentes básicos

Exploremos las instrucciones más comunes y cómo utilizarlas de manera efectiva.

1. DE: Cada Dockerfile debe comenzar con una instrucción FROM. Esta especifica la imagen base sobre la que se construirá la imagen.
   • Propósito: seleccionar un punto de partida, generalmente un sistema operativo (como Ubuntu:22.04) o un entorno de ejecución de aplicación preconfigurado (como node:18-alpine).
   • Ejemplo: FROM python:3.9-slim
   • Buenas prácticas: Elija la imagen base mínima que satisfaga las necesidades de su aplicación. Las versiones Alpine son muy pequeñas, pero usan musl libc, lo que podría generar problemas de compatibilidad con algunos paquetes que dependen de C. Las versiones Slim son una buena opción intermedia, ya que ofrecen una versión simplificada de una distribución estándar (como Debian) con glibc.
2. WORKDIR: Esta configuración establece el wDirectorio de trabajo para cualquier instrucción RUN, CMD, ENTRYPOINT, COPY y ADD posterior.
   • Objetivo: Definir el directorio actual dentro de la imagen para operaciones de archivos y ejecuciones de comandos posteriores. Si el directorio no existe, Docker lo crea.
   • Ejemplo: WORKDIR /usr/src/app
   • Práctica recomendada: Use rutas absolutas para WORKDIR. Cambiar de directorio usando WORKDIR varias veces suele ser más sencillo que encadenar comandos cd dentro de las instrucciones RUN.
3. COPIAR: Copia archivos o directorios desde su contexto de compilación al sistema de archivos de la imagen.
   • Propósito: agregar el código de su aplicación, archivos de configuración y otros activos necesarios a la imagen.
   • Ejemplo:

Dockerfile

WORKDIR /usr/src/app
COPIAR paquete.json ./
COPIAR src/ ./src/

• Buenas prácticas: Para copiar archivos fácilmente, es preferible usar COPY en lugar de ADD. COPY es más transparente. ADD incluye funciones adicionales como la descarga de URL y la extracción de archivos tar, que pueden ser menos predecibles. Para mayor claridad y seguridad, suele ser mejor usar RUN con curl, wget y tar si necesita descargar y extraer archivos.

4. CORRER: Ejecuta comandos en una nueva capa sobre la imagen actual y confirma los resultados. Esto se utiliza para instalar software, crear directorios, compilar código, etc.
   • Objetivo: Modificar el sistema de archivos de la imagen mediante la instalación de paquetes, la ejecución de scripts de compilación o la configuración de parámetros.
   • Ejemplo:

Dockerfile

RUN apt-get update && apt-get install -y –no-install-recommends \
nginx \
curl \
&& rm -rf /var/lib/apt/lists/*

• Buenas prácticas: Encadena comandos relacionados usando && y limpia los archivos temporales o las cachés del gestor de paquetes (como rm -rf /var/lib/apt/lists/* para Debian/Ubuntu o yum clean all para CentOS/RHEL) en la misma instrucción RUN. Esto minimiza el número de capas y reduce el tamaño de la imagen, ya que cada instrucción RUN crea una nueva capa.

5. ENV: Establece variables de entorno disponibles durante el proceso de compilación (después de que se definen) y cuando se ejecutan contenedores desde la imagen.
   • Propósito: Proporcionar valores de configuración, rutas o configuraciones que necesita su aplicación o scripts de compilación.
   • Ejemplo:

Dockerfile

ENV NODE_ENV=producción
ENV APP_PORT=3000

• Práctica recomendada: Use ENV para datos de configuración no confidenciales. Se recomienda usar métodos de inyección en tiempo de ejecución en lugar de integrarlos en la imagen con ENV para secretos.

6. ARG: Define una variable de tiempo de compilación que los usuarios pueden pasar usando el indicador –build-arg durante la compilación de Docker.
   • Propósito: Permitir la parametrización del proceso de compilación sin modificar el Dockerfile.
   • Ejemplo: Dockerfile

Dockerfile

ARG APP_VERSION=1.0.0
ENV APP_VERSION_ENV=${APP_VERSION}
RUN echo “Compilando la versión ${APP_VERSION_ENV}”

• Construir con: intento docker build– build-arg APP_VERSION=1.2.3 -t myapp.
• Nota: Las variables ARG no están disponibles en el contenedor en ejecución a menos que se configuren explícitamente como una variable ENV, como se muestra arriba.

7. EXPONER: Informa a Docker que el contenedor escucha en los puertos de red especificados en tiempo de ejecución.
   • Propósito: Este documento sirve principalmente como documentación para el creador de la imagen y el usuario. No publica el puerto.

Ejemplo:

Archivo Docker

EXPOSE 8080

• Nota: Para que el puerto sea accesible desde el host, utilice el indicador -p o -P con docker run (por ejemplo, docker run -p 8080:8080 myimage).

8. CMD y PUNTO DE ENTRADA: Define qué comando se ejecuta cuando se inicia un contenedor.
   • CMD [“ejecutable”, “parámetro1”, “parámetro2”]: Proporciona valores predeterminados para un contenedor en ejecución. Estos valores predeterminados se pueden anular fácilmente agregando un comando a `docker run`. Si tiene varios CMD, solo el último tendrá efecto.
   • ENTRYPOINT [“ejecutable”, “parámetro1”, “parámetro2”]: Configura un contenedor para que se ejecute como un ejecutable. Los argumentos pasados ​​a docker run se añaden al comando ENTRYPOINT.
   • Ejemplo (patrón típico):

Dockerfile

ENTRYPOINT [“python”, “app.py”] # Comando principal
CMD [“–help”] # Argumento predeterminado si no se proporciona ninguno en docker run

• Buenas prácticas: Utilice CMD si desea un comando predeterminado fácilmente modificable. Utilice ENTRYPOINT para crear una imagen que se comporte como un ejecutable específico, a menudo utilizando CMD para proporcionar argumentos predeterminados. Para aplicaciones web, CMD [“npm”, “start”] o CMD [“python”, “manage.py”, “runserver”] son ​​los comandos estándar.

Prácticas recomendadas clave para archivos Docker optimizados

Escribir un Dockerfile funcional es solo el comienzo. Optimizarlo ofrece importantes beneficios.

• Aproveche la caché de compilación de manera eficaz: Docker crea imágenes en capas e intenta reutilizar capas de compilaciones anteriores si es posible (almacenamiento en caché). Para maximizar los aciertos de caché:
  • Ordena las instrucciones de menor a mayor frecuencia de cambio. Por ejemplo, instala las dependencias (que cambian con menos frecuencia) antes de copiar el código fuente de tu aplicación (que cambia con frecuencia).

Dockerfile

# Buen ejemplo de almacenamiento en caché para una aplicación Node.js
FROM node:18-alpine
WORKDIR /app
COPY package.json package-lock.json ./ # Las dependencias cambian con menos frecuencia
RUN npm ci –omit=dev # Esta capa se almacena en caché si los archivos del paquete no cambian
COPY . . # El código fuente cambia con frecuencia, por lo que es el último
CMD [“node”, “server.js”]

• Mantenga sus imágenes pequeñas: Las imágenes más pequeñas son más rápidas de extraer, enviar e implementar y tienen una superficie de ataque reducida.
  • Utilice imágenes base mínimas: las variantes Alpine, Slim o Distroless son significativamente más pequeñas que las imágenes del sistema operativo completo.
  • Limpiar en la misma capa RUN: Elimine cachés o archivos temporales innecesarios con la misma instrucción RUN después de instalar los paquetes. Por ejemplo:
    • Debian/Ubuntu: apt-get clean && rm -rf /var/lib/apt/lists/*
    • CentOS/RHEL: yum clean all o dnf clean all
    • Alpino: rm -rf /var/cache/apk/*
• Adopte compilaciones de múltiples etapas: Esta es una de las formas más efectivas de reducir el tamaño de la imagen, especialmente para lenguajes compilados o aplicaciones con pasos de compilación (como frontends de JavaScript).
  • Concepto: Utilice una etapa (un bloque FROM) con todas sus herramientas de compilación y dependencias de desarrollo para compilar/construir su aplicación. Luego, inicie una nueva etapa a partir de una imagen base de tiempo de ejecución mínima y utilice COPY– from= Solo los artefactos compilados necesarios en esta etapa final y limpia.
  • Ejemplo (aplicación Go simplificada): Dockerfile

Dockerfile

# Etapa 1: Compilación
FROM golang:1.20 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp

# Etapa 2: Tiempo de ejecución
FROM debian:bullseye-slim
WORKDIR /app
COPY –from=builder /app/myapp .
CMD [“./myapp”]

• La etapa de creación tiene el SDK de Go, pero la imagen final solo contiene el binario compilado y el sistema operativo Alpine mínimo.
• Priorizar la seguridad:
  • Ejecutar como usuario no root: De forma predeterminada, los contenedores se ejecutan como root. Esto supone un riesgo de seguridad. Cree un usuario y un grupo dedicados y sin privilegios en su Dockerfile y use la instrucción USER para cambiar a él. Dockerfile

Dockerfile

RUN addgroup -S appgroup && adduser -S appuser -G appgroup
# … COPIA los archivos y cambia su propietario a appuser:appgroup …
USER appuser

• Instale solo los paquetes necesarios: Cada paquete representa una vulnerabilidad potencial. Evite instalar herramientas de depuración o utilidades de desarrollo en imágenes de producción (utilice compilaciones multietapa para ello).
• No incluyas información confidencial directamente en el código: evita incluir contraseñas, claves API u otros secretos en tu Dockerfile (por ejemplo, en variables de entorno). Utiliza métodos de inyección en tiempo de ejecución, como secretos de Docker, secretos de Kubernetes o variables de entorno proporcionadas de forma segura durante la ejecución.
• Usar .dockerignore eficazmente: Crea un archivo .dockerignore en la raíz de tu contexto de compilación (al mismo nivel que tu Dockerfile). Enumera los archivos y directorios que se excluirán del envío al demonio de Docker (p. ej., .git, node_modules si está instalado en la imagen, configuraciones locales del IDE, *.log).
• Ventajas: Acelera el proceso de compilación de Docker al reducir el tamaño del contexto de compilación y evitar que se incluyan archivos confidenciales o innecesarios en la imagen.

Más allá de lo básico: mejoras adicionales

Una vez que se sienta cómodo con lo anterior, considere lo siguiente para obtener Dockerfiles aún mejores:

• BuildKit: El motor de compilación más reciente de Docker, que suele estar habilitado por defecto. Ofrece un mejor rendimiento (compilaciones paralelas), un almacenamiento en caché mejorado y funciones avanzadas como secretos de compilación (RUN– mount=type=secret,…) y puntos de montaje de caché (RUN– mount=type=cache,…) para gestores de paquetes. Asegúrese de que esté activo o habilítelo con DOCKER_BUILDKIT=1.
• Análisis de Dockerfiles: utilice herramientas como Hadolint (hadolint Dockerfile) para analizar su Dockerfile estáticamente en busca de errores, violaciones de estilo y cumplimiento de las mejores prácticas antes de compilar.

Consejos rápidos para la resolución de problemas comunes

• “Archivo no encontrado” durante COPY o ADD: Verifique la ruta de origen (es relativa a la raíz del contexto de compilación) y asegúrese de que el archivo no esté excluido por .dockerignore.
• Compilaciones lentas: Revise el orden de las instrucciones para optimizar la caché. Combine los comandos RUN siempre que sea posible. Asegúrese de que su archivo .dockerignore sea completo.
• Imágenes grandes: ¡ Utiliza compilaciones multietapa! Limpia en capas de EJECUTAR. Elige imágenes base mínimas.

Dockerfiles en su flujo de trabajo de DevOps

Un Dockerfile es una pieza clave de la “Infraestructura como código”

• Control de versiones: siempre envíe su Dockerfile a su repositorio Git junto con el código de su aplicación.
• Integración CI/CD: Automatice su proceso de compilación e instalación de imágenes de Docker dentro de sus canales de Integración Continua/Entrega Continua (p. ej., GitHub Actions, Jenkins, GitLab CI). Esto garantiza compilaciones e implementaciones consistentes y repetibles.

Conclusión: Construyendo una base para el éxito

Crear Dockerfiles eficaces es una inversión que ofrece importantes beneficios en velocidad de desarrollo, fiabilidad operativa y seguridad de las aplicaciones. Al dominar las instrucciones fundamentales, implementar las mejores prácticas, como compilaciones multietapa y una gestión cuidadosa de las capas de imagen, y priorizar la seguridad, puede producir imágenes Docker optimizadas, eficientes y robustas.

Esta guía proporciona una base sólida. A medida que avanza en su experiencia con Docker, siga explorando, experimentando y perfeccionando sus Dockerfiles.

¿Estás listo para mejorar tus prácticas de Docker y DevOps?

En Seahawk Media, nos especializamos en ayudar a las empresas a aprovechar al máximo el potencial de la contenedorización, las tecnologías en la nube y los procesos de CI/CD optimizados. Nuestro equipo de expertos está aquí para ayudarle si desea optimizar las implementaciones de sus aplicaciones, mejorar la seguridad o acelerar su ciclo de desarrollo.