Dockerfile on DevOps Way - Практические гайды https://devopsway.ru/tags/dockerfile/ Recent content in Dockerfile on DevOps Way - Практические гайды DevOps Way - Практические гайды https://devopsway.ru/images/devopsway-og.png https://devopsway.ru/images/devopsway-og.png Hugo -- 0.161.1 ru Mon, 18 May 2026 13:07:36 -0400 Docker Level 03: Layer Cache -- Почему сборка 8 минут? https://devopsway.ru/posts/docker-03-layer-cache/ Mon, 18 May 2026 12:00:00 +0300 https://devopsway.ru/posts/docker-03-layer-cache/ Level 03: почему CI build занимает 8 минут из-за одной строки. Механика слоёв Docker, кеширование и правильный порядок COPY/RUN. БОЛЬ

CI pipeline: 47 коммитов в день, каждый запускает docker build. Сборка занимает 8 минут, из них 7 – npm ci. Вы поменяли одну строку в src/index.ts, но Docker заново устанавливает все 1200 зависимостей. Каждый. Раз.

За день это 47 * 7 = 329 минут впустую. За месяц – 110 часов ожидания. И всё потому, что COPY . . стоит перед RUN npm ci.

КАК УСТРОЕНО

Docker собирает образ слоями. Каждая инструкция FROM, COPY, RUN создаёт слой. Слои кешируются.

Правило кеша: если инструкция и всё, что было до неё, не менялись – Docker берёт слой из кеша. Но если слой инвалидирован – все последующие слои тоже пересобираются.

Плохой порядок:

COPY . .          # <-- любое изменение файла инвалидирует кеш
RUN npm ci        # <-- пересобирается каждый раз

Хороший порядок:

COPY package.json package-lock.json ./   # <-- меняется редко
RUN npm ci                                # <-- кешируется!
COPY . .                                  # <-- только исходники

Принцип: от редко меняющегося к часто меняющемуся. Зависимости меняются раз в неделю, код – 47 раз в день. Разнесите их по разным слоям.

ПРАКТИКА

Dockerfile для Node.js-приложения тормозит CI. Расставьте инструкции так, чтобы npm ci кешировался при изменении исходников.

Расставьте Dockerfile для максимального кеша

  • COPY . .
  • RUN npm ci
  • COPY package.json package-lock.json ./
  • FROM node:22-alpine
  • WORKDIR /app
  • RUN npm run build
  • CMD ["node", "dist/index.js"]
Сначала package.json и package-lock.json – они меняются редко. npm ci устанавливает зависимости и кешируется, пока lock-файл не изменился. COPY . . копирует исходники – они меняются часто, но инвалидируют только слои ниже (build, CMD), а не npm ci.

РАЗБОР

# 1. Базовый образ -- меняется раз в квартал
FROM node:22-alpine

# 2. Рабочая директория -- никогда не меняется
WORKDIR /app

# 3. Lock-файлы -- меняются раз в неделю
COPY package.json package-lock.json ./

# 4. Установка зависимостей -- кешируется пока lock-файл тот же
RUN npm ci

# 5. Исходники -- меняются каждый коммит
COPY . .

# 6. Сборка -- пересобирается при изменении кода (это ок)
RUN npm run build

# 7. Запуск
CMD ["node", "dist/index.js"]

Результат: при изменении кода Docker использует кеш для шагов 1–4 (FROM, WORKDIR, COPY lock-файлов, npm ci) и пересобирает только шаги 5–7. Вместо 8 минут – 30 секунд.

Проверить кеширование можно в выводе docker build:

=> CACHED [2/6] WORKDIR /app
=> CACHED [3/6] COPY package.json package-lock.json ./
=> CACHED [4/6] RUN npm ci
=> [5/6] COPY . .

CACHED – значит слой взят из кеша.

ВОПРОС НА СОБЕСЕ

Вопрос: Как работает кеширование слоёв Docker и когда кеш инвалидируется?

Показать ответ

Docker кеширует каждый слой (результат инструкции). При повторной сборке проверяет:

  1. FROM: совпадает ли базовый образ (тег + digest)
  2. RUN: совпадает ли текст команды (посимвольно)
  3. COPY/ADD: совпадают ли checksum’ы копируемых файлов

Если на каком-то шаге кеш инвалидирован – все последующие шаги пересобираются, даже если сами не менялись. Это называется “cache bust”.

Типичные причины инвалидации:

  • COPY . . перед RUN npm install – любой файл в контексте инвалидирует кеш
  • RUN apt-get update && apt-get install -y curl без --no-cache – текст не менялся, кеш работает, но пакеты могут устареть
  • ARG VERSION=1.0 – изменение ARG инвалидирует все слои после его использования

Лучшие практики: сортировать инструкции от редко меняющихся к часто меняющимся. Lock-файлы отдельно от исходников. Объединять RUN-команды с && чтобы уменьшить количество слоёв.

]]> Docker Level 02: Dockerfile -- Работает у меня, а у коллеги нет https://devopsway.ru/posts/docker-02-dockerfile/ Mon, 18 May 2026 11:00:00 +0300 https://devopsway.ru/posts/docker-02-dockerfile/ Level 02: от &#39;работает у меня&#39; до воспроизводимой сборки через Dockerfile. Квиз по порядку инструкций и вопрос на собеседование. БОЛЬ

Джуниор присылает в чат: “У меня всё работает”. Вы клонируете репозиторий, запускаете npm install – ошибка. У него Node 18, у вас Node 22. У него Ubuntu, у вас macOS. У него python3 указывает на 3.10, у вас – на 3.12.

“Работает у меня” – это не баг, это отсутствие воспроизводимой среды. Dockerfile решает проблему: он описывает среду декларативно. Кто бы ни собрал образ – результат будет одинаковый.

КАК УСТРОЕНО

Dockerfile – это текстовый файл с инструкциями для сборки образа. Каждая инструкция создаёт слой (layer) в образе.

Основные инструкции:

Инструкция Назначение Пример
FROM Базовый образ FROM node:22-alpine
WORKDIR Рабочая директория WORKDIR /app
COPY Копировать файлы из контекста COPY . .
RUN Выполнить команду при сборке RUN npm install
ENV Переменная окружения ENV NODE_ENV=production
EXPOSE Документация порта EXPOSE 3000
CMD Команда запуска контейнера CMD ["node", "app.js"]

Порядок инструкций важен: Docker кеширует слои, и если слой не менялся – он берётся из кеша. Об этом подробнее в Level 03.

ПРАКТИКА

Вам нужно собрать образ для Node.js-приложения: взять базовый образ, задать рабочую директорию, скопировать исходники, установить зависимости, указать порт и команду запуска.

Расставьте Dockerfile в правильном порядке

  • CMD ["node", "app.js"]
  • COPY . .
  • RUN npm install
  • EXPOSE 3000
  • FROM node:22-alpine
  • WORKDIR /app
FROM всегда первая инструкция – определяет базовый образ. WORKDIR задаёт директорию для всех последующих команд. COPY копирует исходники, RUN устанавливает зависимости. EXPOSE документирует порт (не открывает его!). CMD – команда при запуске контейнера, всегда последняя.

РАЗБОР

# Базовый образ: Node.js 22 на Alpine Linux (маленький)
FROM node:22-alpine

# Все команды выполняются в /app
WORKDIR /app

# Копируем всё из текущей директории в /app контейнера
COPY . .

# Устанавливаем зависимости
RUN npm install

# Документируем порт (для docker run -P)
EXPOSE 3000

# Команда запуска -- выполнится при docker run
CMD ["node", "app.js"]

Этот Dockerfile работает, но не оптимален. Каждое изменение кода инвалидирует кеш npm install. Как это исправить – в Level 03.

Сборка и запуск:

docker build -t myapp .
docker run -d -p 3000:3000 myapp

ВОПРОС НА СОБЕСЕ

Вопрос: В чём разница между CMD и ENTRYPOINT?

Показать ответ

CMD задаёт команду по умолчанию, которую можно полностью переопределить при docker run:

CMD ["node", "app.js"]
# docker run myapp           -> node app.js
# docker run myapp bash      -> bash (CMD заменён)

ENTRYPOINT задаёт фиксированную команду, а аргументы из docker run дописываются к ней:

ENTRYPOINT ["node"]
CMD ["app.js"]
# docker run myapp           -> node app.js
# docker run myapp server.js -> node server.js (CMD заменён, ENTRYPOINT нет)

На практике: CMD – для приложений, где пользователь может захотеть запустить shell. ENTRYPOINT – для утилит, где команда фиксирована (например, curl, psql). Комбинация ENTRYPOINT + CMD даёт фиксированную команду с дефолтными аргументами.

]]>