Posted on 16 April, 2026

Tối ưu hóa Docker Image với Multi-stage Builds trên Ubuntu 20.04+: Chiến lược Hardening cho Production

Estimated reading: 16 minutes 8 views

Summary: Hướng dẫn chuyên sâu về kỹ thuật Multi-stage builds nhằm giảm thiểu kích thước Docker Image, loại bỏ dependency dư thừa và tăng cường bảo mật cho hệ thống triển khai trên Ubuntu 20.04+.

Tối ưu hóa Docker Image với Multi-stage Builds trên Ubuntu 20.04+: Chiến lược Hardening cho Production

Giới thiệu

Trong môi trường sản xuất hiện đại, tối ưu hóa Docker image và tăng cường an ninh cho container là yếu tố then chốt để đảm bảo hiệu năng, dễ bảo trì và tuân thủ quy trình vận hành. Đối với nền tảng Ubuntu 20.04 trở lên, chiến lược multi‑stage builds cung cấp một phương pháp hiệu quả để giảm kích thước hình ảnh, hạn chế surface area và cải thiện hardening cho production container. Bài viết này trình bày khung tham chiếu kỹ thuật cho sysadmins và đội DevOps muốn triển khai hình ảnh Docker được tối ưu và an toàn, đồng thời nêu ra các thực hành, mẫu Dockerfile và các bước kiểm thử, giám sát sau khi triển khai.

Khái niệm cốt lõi và kiến trúc tổng quát

Multi‑stage builds là kỹ thuật cho phép định nghĩa nhiều giai đoạn xây dựng trong một Dockerfile. Mỗi giai đoạn có một hình ảnh cơ sở riêng và có thể sao chép artefacts từ giai đoạn này sang giai đoạn khác. Mục tiêu chính là giữ lại các phần cần thiết cho runtime và loại bỏ phần phụ thuộc, công cụ build và mã nguồn khỏi image cuối cùng. Với Ubuntu 20.04 trở lên, bạn có thể tận dụng các base image tối giản ở giai đoạn runtime đồng thời giữ được tính tương thích và khả năng bảo trì của hệ thống.

Kiến trúc điển hình với multi‑stage bao gồm các phần sau:

  • Stage builder (stage xây dựng): chứa các công cụ và thư viện cần để biên dịch, biên tập và đóng gói ứng dụng. Đây là nơi tập trung toàn bộ phụ thuộc phát triển và các file nguồn.
  • Stage runtime (stage chạy): hình ảnh nhẹ, chỉ chứa các phần mềm cần thiết cho chạy ứng dụng ở môi trường production. Không mang theo các công cụ build hay mã nguồn thô.
  • Quá trình sao chép artefacts từ stage builder sang stage runtime, chỉ sao chép các tệp cần thiết cho vận hành (binary, script, tài nguyên) và loại bỏ các dependences không cần thiết.

Việc tách biệt giữa build và runtime giúp giảm kích thước image, giảm surface area tấn công và cải thiện khả năng nhận diện rủi ro. Đây là ý tưởng cốt lõi của hardening Docker image cho production trên nền tảng Ubuntu 20.04 và các hệ thống tương đương.

Yêu cầu và chuẩn bị

Trước khi bắt đầu, xác định rõ môi trường mục tiêu và phạm vi ứng dụng. Với nền tảng Ubuntu 20.04+, các khuyến nghị dưới đây sẽ hỗ trợ bạn xây dựng pipeline ổn định và an toàn:

  • Có Docker Engine được cài đặt trên máy chủ chạy Ubuntu 20.04 hoặc các phiên bản tương đương.
  • Sử dụng Dockerfile theo mẫu multi‑stage để tách biệt build và runtime.
  • Đảm bảo quyền truy cập và quản trị người dùng được kiểm soát chặt chẽ, ưu tiên chạy ứng dụng dưới tài khoản người dùng không phải root.
  • Xem xét tích hợp công cụ quét bảo mật và kiểm tra hình ảnh (image scanning) như một phần của chu trình CI/CD.
  • Thiết lập các công cụ giám sát và logging để đảm bảo khả năng vận hành và phát hiện sự cố.

Trong phạm vi bài viết, chúng ta sẽ đi qua một quy trình thực hành với một Dockerfile mẫu và các bước kiểm thử đi kèm, phù hợp với nền tảng Ubuntu 20.04+.

Cấu hình và mẫu Dockerfile với multi‑stage builds

Ý tưởng cơ bản là sử dụng hai hoặc nhiều stage trong Dockerfile. Stage builder sẽ chứa các dependency cần thiết để biên dịch hoặc đóng gói, trong khi stage runtime sẽ chỉ chứa những gì cần thiết để chạy ứng dụng. Dưới đây là một mẫu Dockerfile minh họa cho một ứng dụng nền tảng Linux tổng quát mà có thể được điều chỉnh cho các ngôn ngữ phổ biến như Go, C/C++, hoặc Node.js. Lưu ý rằng các khung lược bỏ phụ thuộc ở stage runtime giúp giảm kích thước và tăng mức độ an toàn của hình ảnh. 

FROM ubuntu:20.04 AS builder
RUN apt-get update && apt-get install -y --no-install-recommends \
    build-essential \
    pkg-config \
    && rm -rf /var/lib/apt/lists/*

WORKDIR /src
COPY . /src

# Giả định build một binary ứng dụng
RUN ./build-script.sh

FROM ubuntu:20.04
RUN apt-get update && apt-get install -y --no-install-recommends \
    ca-certificates \
    && rm -rf /var/lib/apt/lists/*

# Sao chép artefacts từ stage builder
COPY --from=builder /src/bin/app /usr/local/bin/app

# Tạo người dùng và vận hành với non-root
RUN groupadd -r appuser && useradd -r -g appuser appuser
USER appuser

ENTRYPOINT ['/usr/local/bin/app']

Giải thích nhanh về cấu hình trên:

  • Stage builder cài đặt các công cụ cần thiết cho quá trình build và biên dịch.
  • Stage runtime dùng base image ubuntu:20.04 và chỉ bao gồm các dependency cần thiết để chạy ứng dụng, không mang theo công cụ build hay mã nguồn đầy đủ.
  • Các artefacts được sao chép từ stage builder sang stage runtime, điều này giúp loại bỏ các file nguồn và thư viện build khỏi image cuối cùng.
  • Quy trình chạy với user non-root nhằm giảm thiểu rủi ro bảo mật tại runtime.

Điểm mấu chốt là chỉ sao chép những gì thực sự cần cho runtime và tránh mang toàn bộ mã nguồn hoặc công cụ biên dịch vào image sản xuất.

Một ví dụ chi tiết cho Dockerfile cho ứng dụng Go hoặc ngôn ngữ biên dịch khác

Đối với các dự án Go hoặc các ngôn ngữ biên dịch khác, mẫu Dockerfile có thể được điều chỉnh để tận dụng staged builds. Dưới đây là phiên bản tham khảo có thể áp dụng cho các dự án cần build và chạy ở runtime nghiêm ngặt:

FROM ubuntu:20.04 AS builder
RUN apt-get update && apt-get install -y --no-install-recommends \
    build-essential git ca-certificates \
    && rm -rf /var/lib/apt/lists/*

WORKDIR /src
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN go build -trimpath -o app ./cmd/app

FROM ubuntu:20.04
RUN apt-get update && apt-get install -y --no-install-recommends ca-certificates
RUN useradd -m -s /bin/bash appuser
USER appuser
COPY --from=builder /src/app /usr/local/bin/app
ENTRYPOINT ["/usr/local/bin/app"]

Trong mẫu trên, Go toolchain hoặc runtime build các dépendances ở stage builder. Stage runtime chỉ chứa binary đã biên dịch và các thư viện runtime cần thiết, giúp giảm thiểu kích thước và tăng tính bảo mật.

Bảo mật và hardening cho Docker image với multi‑stage builds

Bảo mật đóng vai trò then chốt trong production. Các biện pháp sau đây được khuyến nghị khi làm việc với multi‑stage builds trên Ubuntu 20.04+:

  • Sử dụng base image tối giản cho stage runtime; tránh mang theo các công cụ phát triển và thư viện không cần thiết.
  • Chạy ứng dụng ở chế độ non-root và cấp phát quyền tối thiểu cho hành động cần thiết, ví dụ tạo user riêng và gán quyền vào thư mục làm việc.
  • Sử dụng .dockerignore để loại trừ mã nguồn, dữ liệu nhị phân tạm thời và các file nhạy cảm khỏi quá trình build.
  • Hạn chế quyền truy cập mạng cho container nếu có thể, và cân nhắc áp dụng thiết lập seccomp, AppArmor hoặc SELinux tùy thuộc vào hạ tầng và mức độ ràng buộc bảo mật.
  • Đảm bảo việc cập nhật hình ảnh runtime được tích hợp trong chu trình CI/CD để nhận các bản vá bảo mật mới nhất.
  • Kiểm tra hạn mức và giới hạn tài nguyên cho container ở môi trường production để giảm thiểu tác động từ các cuộc tấn công từ chối dịch vụ hoặc lỗi vận hành.

Những nguyên tắc này giúp tăng cường độ an toàn cho hình ảnh Docker và giảm nguy cơ bị khai thác từ các lỗ hổng có thể có trong các công cụ build hoặc dependencies không cần thiết ở runtime.

Hiệu năng và tối ưu hoá hình ảnh

Hiệu năng là một phần thiết yếu của vận hành hệ thống. Các thực hành tối ưu hoá bao gồm:

  • Chỉ giữ lại những artefacts cần thiết cho chạy ứng dụng ở stage runtime; loại bỏ file nguồn, build cache và các dependency không cần thiết.
  • Gộp các lệnh RUN hợp lý để tối ưu hoá số lượng layers và tận dụng cache của Docker trong quá trình build.
  • Chọn base image phù hợp với ứng dụng và tối giản các gói cài đặt. Ví dụ sử dụng các base image có kích thước nhỏ và có sẵn runtime cho Linux.
  • Đảm bảo hình ảnh ở trạng thái có thể lặp lại trong CI/CD và không phụ thuộc vào biến môi trường vượt quá phạm vi được kiểm soát.

Với các áp dụng thực tế, bạn có thể kiểm tra kích thước hình ảnh và tối ưu hoá thêm bằng cách xem lịch sử từng layer và loại bỏ các layer không cần thiết. Quá trình này giúp giảm không chỉ dung lượng tải xuống mà còn thời gian triển khai và chi phí vận hành.

Giám sát và observability cho container chạy ở production

Việc giám sát và ghi nhận là phần không thể bỏ qua để duy trì chất lượng dịch vụ trong dài hạn. Các thực hành liên quan đến multi‑stage builds tập trung vào runtime ít hơn vào giai đoạn build:

  • Cấu hình Healthcheck cho container để xác định tình trạng hoạt động của ứng dụng và tự động tái khởi động khi cần thiết.
  • Ghi log ra stdout và stderr để tích hợp với hệ thống quản lý logs và phân tích logs tập trung.
  • Giải pháp theo dõi hiệu năng và sự cố ở mức hệ điều hành và ứng dụng, bao gồm giám sát tiêu thụ CPU, memory và I/O.
  • Áp dụng giới hạn tài nguyên cho container nhằm ngăn tình huống lún lõm tài nguyên khi có tải cao hoặc lỗ hổng bảo mật bị khai thác.

Việc tích hợp Healthcheck và logging chuẩn giúp đội vận hành nhanh chóng xác định và xử lý sự cố, đồng thời cung cấp dữ liệu cho quá trình tối ưu hoá và bảo mật.

Kiểm tra, xác thực và vận hành sau triển khai

Để đảm bảo hình ảnh multi‑stage hoạt động đúng như mong đợi trên nền tảng Ubuntu 20.04+, tiến hành các bước kiểm tra sau trước khi đẩy lên môi trường production:

  • Xây dựng lại hình ảnh và xác nhận không còn các file build hoặc thư viện phát triển trong stage runtime.
  • Chạy container ở chế độ thử nghiệm với các trường hợp sử dụng thực tế của ứng dụng, kiểm tra chức năng và hiệu năng.
  • Kiểm tra tính khả dụng của các dịch vụ liên quan, xác thực logging và healthcheck hoạt động đúng cách.
  • Đánh giá bảo mật với các công cụ quét hình ảnh và xác thực rằng non‑root user được áp dụng và các quyền truy cập được giới hạn.
  • Ghi nhận và phân tích kích thước hình ảnh, thời gian tải xuống và thời gian khởi động để đánh giá hiệu quả tối ưu hóa.

Ví dụ các lệnh kiểm tra có thể được thực hiện trong môi trường CI/CD và sau khi triển khai bao gồm kiểm tra kích thước image, xem lịch sử builder và xác nhận tài nguyên runtime được giới hạn phù hợp.

Checklist vận hành và triển khai

  • Đảm bảo Dockerfile được thiết kế theo chuẩn multi‑stage và ubuntu:20.04 là base image cho cả stage build và stage runtime.
  • Áp dụng người dùng non‑root cho runtime và cấp quyền tối thiểu cho thư mục làm việc.
  • Sử dụng .dockerignore để loại bỏ mã nguồn và file nhạy cảm khỏi quá trình build.
  • Kiểm tra và giới hạn tài nguyên cho container ở production (CPU, memory, I/O).
  • Áp dụng Healthcheck và logging cho khả năng vận hành và phát hiện sự cố nhanh chóng.
  • Sử dụng quy trình CI/CD để tự động quét bảo mật và xác thực version của image trước khi triển khai.
  • Theo dõi kích thước và surface area của image sau mỗi lần tối ưu hóa và cập nhật dependency.

Kết luận

Kỹ thuật multi‑stage builds là một phần cốt lõi để tối ưu hóa kích thước và an ninh cho Docker image khi làm việc trên Ubuntu 20.04+. Bằng cách tách biệt stage build và stage runtime, bạn có thể giảm đáng kể surface area, loại bỏ công cụ phát triển và các file nguồn khỏi image sản xuất, đồng thời tăng cường khả năng kiểm soát an ninh và vận hành. Để đạt hiệu quả tối đa, hãy kết hợp chiến lược này với các thực tiễn bảo mật và quản trị container như chạy dưới non‑root, sử dụng .dockerignore, cấu hình healthcheck, và tích hợp CI/CD cho kiểm tra bảo mật và xác thực version trước khi đẩy lên production.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Share this Doc

Tối ưu hóa Docker Image với Multi-stage Builds trên Ubuntu 20.04+: Chiến lược Hardening cho Production

Or copy link

CONTENTS

Powered By EazyDocs