多阶段构建在一个 Dockerfile 中使用多个 FROM 阶段 — 在一个阶段中构建应用程序(带有所有构建工具),然后仅将最终的 artifacts 复制到一个清洁、精简的最终阶段。这产生更小、更安全的生产镜像。
Building an app needs build tools (compilers, dev dependencies, SDKs), but the
FINAL image shouldn't include them:
→ they bloat the image (larger size, slower deploys)
→ they increase the attack surface (more software = more vulnerabilities)
→ You want only the built artifact + its runtime in the final image.
# STAGE 1: "build" — has all the build tools (compile/bundle the app)
FROM node:20 AS build
WORKDIR /app
COPY package*.json ./
RUN npm install # includes dev dependencies, build tools
COPY . .
RUN npm run build # produces /app/dist
# STAGE 2: final — a clean, minimal image with ONLY the built artifact
FROM nginx:alpine
COPY --from=build /app/dist /usr/share/nginx/html # copy ONLY the build output
# → the final image has NO build tools, no dev dependencies — just nginx + the built files
--from=build 将 artifacts 从构建阶段复制到最终镜像中。最终镜像排除来自构建阶段的所有内容,除了您明确复制的内容 — 因此构建工具、dev 依赖项和源代码不会出现在生产中。
✓ SMALLER images — only the runtime + artifacts (often 10x+ smaller)
✓ More SECURE — fewer packages = smaller attack surface (no compilers/build tools)
✓ Faster deploys/pulls (smaller images transfer faster)
✓ One Dockerfile — build and final image together (no separate build scripts)
→ Common for compiled languages (Go, Rust, Java) and Node/frontend builds.
理解多阶段构建对于生成小的、安全的生产镜像很有价值,因此它是构建生产质量 Docker 镜像的重要实践知识。
它解决的问题是真实且常见的:构建应用程序需要构建工具(编译器、SDKs、dev 依赖项)但最终生产镜像不应该包含 — 包含它们会使镜像膨胀(更大的大小、更慢的部署和拉取)并增加攻击面(更多已安装的软件意味着更多潜在的漏洞)。多阶段构建通过使用多个 FROM 阶段优雅地解决了这个问题:在具有所有工具的阶段中构建应用程序,然后仅复制最终 artifacts(--from=build)到一个排除所有其他内容的清洁、精简的最终阶段。
这产生的镜像大幅更小(通常小 10 倍以上 — 只有 runtime 和 artifacts)并且更安全(没有构建工具或不必要的包可被利用),同时将所有内容保留在单个 Dockerfile 中(没有单独的构建脚本)。
这种模式对于编译语言(Go、Rust、Java,其中编译器在运行时不需要)和 frontend/Node 构建(其中构建工具和源代码在生产中不需要)是标准的。
由于小的、安全的生产镜像对于部署速度、存储和安全很重要,并且由于多阶段构建是实现它们的标准有效技术(将构建环境与精简的 runtime 镜像分离),理解多阶段构建 — 它们解决的膨胀/安全问题、它们的工作原理以及它们的优点 — 是构建生产质量 Docker 镜像的有价值的、经常应用的知识,这是真实世界 Dockerfiles 中广泛使用的最佳实践,也是生成高效、安全容器化应用的关键技能。