Деплой и инфра
Image layers: тест с выбором ответа
Суть Тест с выбором на синтез по всему юниту — поведение кэша как префикса, порядок инструкций, multi-stage build, компромиссы базовых образов, .dockerignore и секрет, который навсегда остаётся в истории.
Высота — путь к senior
НольJuniorMiddleSenior
Ты на senior-высоте — в орбитеШесть вопросов поперёк всего юнита. Каждый отражает решение, которое ты принимаешь, когда пишешь или ревьюишь реальный Dockerfile — не определение для заучивания, а компромисс по кэшу и размеру образа, который надо продумать.
Цель
Убедись, что связываешь модель кэша-как-префикса, порядок инструкций, multi-stage build, выбор базового образа, гигиену build-контекста и ловушку секрета в неизменяемом слое — тот синтез, к которому вёл урок.
Викторина
Completed
Коллега переносит RUN npm ci прямо перед финальный CMD, рассуждая: 'установка дорогая, значит должна идти последней'. Что на самом деле произойдёт с кэшем при обычной правке исходника?
Heads-up Кэш — строгий префиксный матч: первый изменившийся слой пересобирается вместе со всеми после него. Позиция в файле не важна; важно, стоит ли слой до или после часто меняющихся. Install должен идти перед COPY . .
Heads-up RUN npm ci кэшируется по своим входам и по всем предыдущим слоям. Если вышестоящий слой COPY . . инвалидируется, npm ci ниже промаха и перезапустится, хотя текст его команды не менялся.
Heads-up Перестановка инструкций не меняет размер образа — те же слои существуют. Меняется лишь то, какие слои остаются в кэше. Здесь перестановка вредит кэшу, а размер не затронут в любом случае.
Викторина
Completed
В Dockerfile эти две строки — отдельные инструкции. Сборки продолжают ставить версии пакетов многомесячной давности даже после обновления upstream-репозитория. Почему? RUN apt-get update RUN apt-get install -y curl
Heads-up Кэш работает ровно как задумано — слишком хорошо. Docker переиспользует слой update, потому что текст его инструкции не менялся. Проблема в разбиении update и install на два ключа кэша, а не в недетерминизме.
Heads-up Зеркало не причина; причина — закэшированный слой 'apt-get update'. Даже со свежим зеркалом слой-хит update отдаёт старый индекс. Объедини update и install в одном RUN.
Heads-up --no-cache отбрасывает весь кэш и обесценивает смысл layer cache. Точечный фикс — слить update и install, чтобы обновление индекса и установка инвалидировались как единое целое.
Викторина
Completed
Single-stage Go-сборка отдаёт образ ~180 МБ. Коллега предлагает дописать в конец 'RUN apt-get remove -y build-essential && rm -rf /usr/local/go', чтобы ужать. Образ уменьшится?
Heads-up Слои — неизменяемые append-only diff-ы. Удаление в позднем слое скрывает файлы в объединённом виде, но никогда не правит ранние слои, поэтому байты — и размер образа — сохраняются. Только свежий финальный stage реально их убирает.
Heads-up Очистка в одном RUN помогает только для файлов, созданных и удалённых внутри той же инструкции. Здесь toolchain пришёл из базового образа и ранних слоёв, так что RUN-удаление не ужмёт его. Правильный инструмент — multi-stage.
Heads-up Бо́льший базовый образ делает образ больше, а не меньше. Фикс в обратном направлении: собирай в жирном stage, затем COPY артефакт в минимальный финальный stage вроде scratch или distroless/static.
Викторина
Completed
Нужен самый маленький, самый закалённый production-образ для самодостаточного скомпилированного сервиса, и шум CVE-сканера должен быть близок к нулю. Какой базовый образ финального stage — senior-выбор по умолчанию, и какую цену ты принимаешь?
Heads-up Alpine мал и удобен, но несёт shell и пакетный менеджер (больше attack surface, чем у distroless), а его musl libc может ломать нативные модули и давать сюрпризы с DNS/производительностью. Хорош, когда реально нужен shell, но не самый закалённый выбор.
Heads-up Это ровно тот анти-паттерн, ради которого существует multi-stage build — ты тащишь компиляторы, dev-зависимости и apt-кэши в production: сотни МБ bloat и attack surface, которые никогда не обслуживают запрос.
Heads-up Удаление инструментов в позднем слое не ужимает образ (байты остаются в ранних слоях) и сохраняет большой glibc-базис с shell и пакетным менеджером. Свежий финальный stage на distroless или scratch и меньше, и закалённее.
Викторина
Completed
В CI сборке нужен токен приватного registry для скачивания зависимостей. Инженер пишет COPY token.txt /tmp/token, использует его в RUN, затем RUN rm /tmp/token в следующей инструкции. Финальный образ опубликован. В чём экспозиция?
Heads-up Слои — стек неизменяемых diff-ов. Rm добавляет новый diff, помечающий файл удалённым в объединённом дереве, но не может стереть ранний слой, который физически держит токен. Он восстановим в любом случае.
Heads-up Приватный registry управляет тем, кто может pull, а не тем, есть ли секрет в слоях. Любой, кто может pull (или имеет локальный образ), извлечёт его. Секрет вообще не должен был стать слоем.
Heads-up Эфемерная-в-рантайме семантика /tmp нерелевантна сборке: COPY записал файл в постоянный слой образа на этапе сборки. Путь не освобождает его от истории слоёв.
Викторина
Completed
docker build медленно даже стартует — несколько секунд проходят до первой инструкции — и COPY . . иногда тащит локальный .env разработчика в образ. В репозитории нет .dockerignore. Какое одно изменение решает оба?
Heads-up ADD добавляет поведение URL/авто-распаковки, а не меньший контекст. Медленный старт — это тар контекста, отправляемый демону, и ADD . . всё равно скопирует .env. .dockerignore — фикс обоих симптомов.
Heads-up Размер базового образа влияет на pull и размер финального образа, а не на pre-build upload контекста или на то, что включает COPY . .. И медленный старт, и утёкший .env идут из нефильтрованного build-контекста.
Heads-up --no-cache форсит полные пересборки и пере-отправляет тот же раздутый контекст — он делает старт ещё медленнее и ничего не делает с утечкой .env. Правильный рычаг — фильтрация контекста через .dockerignore.
Итог
Сквозная линия — одна модель: образ это неизменяемые сложенные слои, кэш — строгий префикс, а RUN кэшируется по тексту команды, а не по эффекту. Упорядочивай от редко- к часто-меняющемуся, чтобы дорогой install оставался кэш-хитом; сливай update-and-install, чтобы они инвалидировались вместе; multi-stage, чтобы компилировать жирно и отгружать тонко вместо удаления байтов, которые никогда не покидают историю; выбирай distroless, когда нужна минимальная attack surface и ты принимаешь потерю shell; и держи build-контекст тонким через .dockerignore. Сложнейшая ловушка — секрет, добавленный и затем rm’нутый — следует из того же правила неизменяемости: его нельзя удалить обратно, поэтому он не должен становиться слоем вообще.