マルチステージビルドとは何か、またなぜ使うのか？

Question

Accepted Answer

**マルチステージビルド**は、1つのDockerfile内で複数の`FROM`ステージを使い、アプリケーションをビルドステージ（すべてのビルドツール含む）で構築し、最終的なアーティファクトだけをクリーンで最小限の最終ステージにコピーします。これにより、**はるかに小さく、より安全な**本番イメージが生成されます。

## 問題：ビルドツールがイメージを肥大化させる

```text
Building an app needs build tools (compilers, dev dependencies, SDKs), but the
FINAL image shouldn't include them:
  → they bloat the image (larger size, slower deploys)
  → they increase the attack surface (more software = more vulnerabilities)
→ You want only the built artifact + its runtime in the final image.
```

## マルチステージビルド

```dockerfile
# STAGE 1: "build" — has all the build tools (compile/bundle the app)
FROM node:20 AS build
WORKDIR /app
COPY package*.json ./
RUN npm install              # includes dev dependencies, build tools
COPY . .
RUN npm run build            # produces /app/dist

# STAGE 2: final — a clean, minimal image with ONLY the built artifact
FROM nginx:alpine
COPY --from=build /app/dist /usr/share/nginx/html   # copy ONLY the build output
# → the final image has NO build tools, no dev dependencies — just nginx + the built files
```

`--from=build`は、ビルドステージからのアーティファクトを最終イメージにコピーします。最終イメージは**明示的にコピーしたもの以外のビルドステージのすべてを除外します**。そのため、ビルドツール、開発用の依存関係、ソースコードは本番環境に含まれません。

## メリット

```text
✓ SMALLER images — only the runtime + artifacts (often 10x+ smaller)
✓ More SECURE — fewer packages = smaller attack surface (no compilers/build tools)
✓ Faster deploys/pulls (smaller images transfer faster)
✓ One Dockerfile — build and final image together (no separate build scripts)
→ Common for compiled languages (Go, Rust, Java) and Node/frontend builds.
```

## なぜ重要なのか

マルチステージビルドを理解することは、**小さく、安全な本番イメージを生成する**ために価値があり、本番品質のDockerイメージを構築するための重要な実践的知識です。

これが解決する問題は現実的で一般的です：アプリケーションをビルドするには**ビルドツール**（コンパイラ、SDK、開発用の依存関係）が必要ですが、**最終的な本番イメージに含まれるべきではありません**。これらを含めるとイメージが肥大化し（サイズが大きく、デプロイとプルが遅くなり）、**攻撃面が増加**します（インストールされたソフトウェアが多いほど、潜在的な脆弱性が増えます）。**マルチステージビルド**はこの問題をエレガントに解決します。複数の`FROM`ステージを使い、すべてのツールを含むステージでアプリケーションをビルドしてから、**最終的なアーティファクトだけを**（`--from=build`を使って）他のすべてを除外したクリーンで最小限の最終ステージにコピーします。

これにより、**劇的に小さい**（多くの場合10倍以上小さい。ランタイムとアーティファクトだけ）で**より安全な**（ビルドツールや不要なパッケージがないため悪用されるリスクがない）イメージが生成され、単一のDockerfile内ですべてが完結します（別のビルドスクリプトは不要）。

このパターンはコンパイル言語（Go、Rust、Java。コンパイラは実行時に必要ないため）とフロントエンド/Nodeビルド（ビルドツールとソースが本番環境では必要ないため）の標準的なアプローチです。

小さく、安全な本番イメージはデプロイ速度、ストレージ、セキュリティに重要であり、マルチステージビルドはこれを達成するための標準的で効果的な技術であり（ビルド環境とリーンなランタイムイメージの分離）、マルチステージビルドを理解すること（解決する肥大化/セキュリティの問題、仕組み、メリット）は、本番品質のDockerイメージを構築するための価値のある頻繁に使用される知識であり、実世界のDockerfileで広く使用されているベストプラクティスであり、効率的で安全なコンテナ化アプリケーションを生成するための重要なスキルです。