Szoftver

Hogyan készítsünk tökéletes .dockerignore fájlt a projektünkhöz?

iranyonline 0

Képzeljük el, hogy egy hatalmas hajót építünk, és minden egyes deszka, minden egyes szög, sőt még a hajógyárban felejtett kávéscsészék is bekerülnek a tervrajzba, amit elküldünk a gyártósorra. Ez abszurdnak hangzik, igaz? Pedig valami hasonló történik, ha nem figyelünk oda a Docker build kontextusra, és nem használunk egy .dockerignore fájlt. Ebben a cikkben alaposan körbejárjuk, miért elengedhetetlen ez a fájl, hogyan működik, és miként hozhatjuk létre a projekthez tökéletes .dockerignore-t, amellyel gyorsabb build időt, kisebb image-eket és megnövelt biztonságot érhetünk el.

Miért kritikus a .dockerignore fájl?

Amikor kiadunk egy docker build . parancsot, a Docker kliens összegyűjti az összes fájlt és mappát a jelenlegi könyvtárból (vagy a megadott build kontextusból) és elküldi azokat a Docker daemonnak. Ezt az adatcsomagot hívjuk build kontextusnak. A daemon ezután használja ezt a kontextust az image építéséhez a Dockerfile utasításai alapján.

Ha nincs .dockerignore fájl, vagy az hiányos, akkor a Docker daemon megkapja az összes fájlt – beleértve a verziókezelő rendszerek (pl. .git) metadatait, az IDE-specifikus fájlokat (.vscode, .idea), a helyi fejlesztési környezeti konfigurációkat (.env), a telepített függőségeket (node_modules, venv), a build outputokat (dist, build, target), és még sok mást. Ennek számos hátránya van:

  • Lassú buildek: A nagy méretű build kontextus lassítja az átvitelt a kliens és a daemon között, különösen távoli daemon vagy felhő alapú build rendszerek esetén. Ez megnöveli a build idejét.
  • Nagyobb image méret: Bár a Dockerfile utasításai valószínűleg nem másolják be ezeket a felesleges fájlokat az image-be, a build cache-ben mégis ott ülnek. Emellett, ha véletlenül bemásolunk valamit, amit nem kellene, az feleslegesen növeli az image méretét.
  • Biztonsági kockázatok: Érzékeny információk, mint például API kulcsok, konfigurációs fájlok (.env, credentials.json), vagy fejlesztési titkok véletlenül bekerülhetnek a build kontextusba, és ha nem figyelünk, akár az image-be is.
  • Cache ineffektivitás: A felesleges fájlok megváltozása érvénytelenítheti a Docker build cache-t, még akkor is, ha azok nem relevánsak az image végső tartalmára nézve, ezáltal növelve a build időt.

A .dockerignore tehát a .gitignore megfelelője a Docker világában: megmondja a Dockernek, hogy mely fájlokat és könyvtárakat hagyja figyelmen kívül, amikor a build kontextust összeállítja.

Hogyan működik a .dockerignore? A szintaxis alapjai

A .dockerignore fájl soronként értelmezett szabályokat tartalmaz. Ezek a szabályok nagyon hasonlítanak a .gitignore szabályaihoz, és a fájlrendszerre vonatkozó „glob” mintákat használnak. Nézzük a legfontosabbakat:

  • Üres sorok és kommentek: Az üres sorokat figyelmen kívül hagyja. A # karakterrel kezdődő sorok kommentek, ezeket is figyelmen kívül hagyja.
  • Elérési utak: Egy fájl vagy könyvtár neve közvetlenül megadható. Például: .env vagy node_modules/. Ha a mappa nevét adod meg, a perjel (/) végén nem kötelező, de jó gyakorlat, hogy jelezd, az egy könyvtár.
  • Wildcard (*): Bármilyen karakterláncot helyettesít, kivéve a perjelet. Például: *.log figyelmen kívül hagy minden .log kiterjesztésű fájlt. A temp* minden temp-pel kezdődő fájlt vagy könyvtárat.
  • Dupla wildcard (**): Bármely karakterláncot helyettesít, beleértve a perjeleket is, tetszőleges számú alkönyvtárban. Például: **/*.log figyelmen kívül hagy minden .log fájlt az összes alkönyvtárban. A foo/**/bar figyelmen kívül hagy minden bar nevű fájlt vagy könyvtárat, ami a foo könyvtáron belül van, bármilyen mélységben.
  • Negálás (!): Egy mintát megelőző felkiáltójel felülírja az előző ignorálási szabályokat. Ez azt jelenti, hogy az adott fájlt vagy könyvtárat mégis belefoglalja a build kontextusba. Például: 
    **/*
!src/
!src/**/*.js

    Ez a példa először minden fájlt ignorál, majd visszaemeli a src/ mappát és az abban lévő összes .js fájlt. Fontos, hogy a negálási szabályok csak akkor működnek, ha egy korábbi (nem negált) szabály már ignorálta az adott elemet.

  • Relatív elérési utak: Minden elérési út relatív a .dockerignore fájl helyéhez képest (ami általában a build kontextus gyökere).

A .dockerignore fájlban a szabályokat felülről lefelé értékeli ki a Docker. Ha egy fájlra több szabály is illeszkedik, az utolsó illeszkedő szabály győz.

A tökéletes .dockerignore stratégia: „Ignore All, Then Whitelist”

A leghatékonyabb és legbiztonságosabb módszer a .dockerignore fájl létrehozására az, ha kezdetben mindent ignorálunk, majd explicit módon belefoglaljuk azokat a fájlokat és könyvtárakat, amelyekre valóban szükség van a buildhez. Ez a „Ignore All, Then Whitelist” stratégia minimalizálja a véletlen adatfeltöltés kockázatát, és biztosítja, hogy csak a szükséges dolgok kerüljenek a build kontextusba.

Lépésről lépésre:

  1. Kezdjük mindent ignoráló szabállyal: 
    **/*

    Ez a sor alapértelmezetten minden fájlt és mappát kizár a build kontextusból.

  2. Expliciten foglaljuk bele a szükséges fájlokat és mappákat:
    Most, hogy mindent ignoráltunk, kezdjük el visszaemelni azokat az elemeket, amelyek elengedhetetlenek az alkalmazásunk futtatásához és építéséhez.

Példa egy „Ignore All, Then Whitelist” .dockerignore-ra (általános eset):

# Alapértelmezetten mindent ignorálunk
**/*

# Explicit módon belefoglaljuk azokat a fájlokat és mappákat, amikre szükségünk van
# FIGYELEM: A negálási szabályok csak fájlokra vonatkoznak, üres könyvtárakat nem hoznak létre.
# Ezért a könyvtárakat külön meg kell adni, ha üresen is kell, de a tartalmukra van szükség.

# Projekt forráskódja
!./src/
!./src/**
!./app/
!./app/**

# Konfigurációs fájlok (ha az image-ben kellenek)
!./config/
!./config/**
!./.env.production # Csak a production környezeti fájlt emeljük be

# Csomagkezelő fájlok (pl. Node.js, Python, Java)
!./package.json
!./package-lock.json
!./yarn.lock
!./requirements.txt
!./pom.xml
!./build.gradle

# Esetleges más szükséges root szintű fájlok (pl. server.js, main.py, index.ts)
!./server.js
!./main.py
!./index.ts

# Dockerfile és .dockerignore fájlokra általában nincs szükség a build kontextusban,
# de ha mégis, akkor ide kerülnének. (Alapértelmezetten az **/* nem ignorálja őket,
# mivel a Dockerfile maga a kontextus része, de ha mégis bele kell, akkor így lehetne.)
# !./Dockerfile
# !./.dockerignore

Ez a módszer sokkal biztonságosabb, mert ha elfelejtesz ignorálni valamit, akkor az nem fog bekerülni. Ha viszont elfelejtesz beemelni valamit, akkor a build el fog bukni, és tudni fogod, hogy pótolni kell.

Mit érdemes mindenképpen ignorálni? Gyakorlati példák

Függetlenül attól, hogy melyik stratégiát választod (bár az „Ignore All, Then Whitelist” javasolt), vannak bizonyos fájl- és mappakategóriák, amelyeket szinte mindig érdemes figyelmen kívül hagyni:

1. Verziókezelő rendszer (VCS) fájljai

Ezekre soha nincs szükség a Docker image-ben, csak a fejlesztés során:

  • .git (a Git repository metaadatai)
  • .gitignore (ugyanaz, mint a .dockerignore, de Git-hez)
  • .svn (Subversion metaadatok)
  • .hg (Mercurial metaadatok)

2. IDE és szerkesztő specifikus fájlok

Ezek a fájlok az IDE-d vagy szerkesztőd beállításait tárolják, és teljesen irrelevánsak az alkalmazás futtatása szempontjából:

  • .vscode (VS Code beállítások)
  • .idea (IntelliJ IDEA beállítások)
  • *.swp (Vim swap fájlok)
  • *.swo (Vim swap fájlok)
  • .DS_Store (macOS specifikus mappa nézet beállítások)

3. Build outputok és átmeneti fájlok

Ezek a fájlok a fordítás vagy build folyamat során keletkeznek a fejlesztői gépen, és általában nem kellenek az image-be, mivel a Dockerfile-ban fordítjuk le újra az alkalmazást:

  • dist/
  • build/
  • target/ (Java Maven/Gradle)
  • bin/ (pl. .NET)
  • obj/ (pl. .NET)
  • *.jar, *.war (ha helyben generálod és nem Dockerben)
  • *.pyc (Python fordított fájlok)
  • __pycache__/ (Python fordított fájlok)
  • *.o, *.lo, *.la, *.al (C/C++ fordított fájlok)

4. Függőségi könyvtárak

Ha a Dockerfile-ban telepíted a függőségeket (ami a legjobb gyakorlat), akkor a helyi node_modules, venv, stb. könyvtárakra nincs szükség a build kontextusban:

  • node_modules/ (Node.js)
  • venv/ (Python virtuális környezetek)
  • env/ (Python virtuális környezetek)
  • .venv/ (Python virtuális környezetek)
  • vendor/ (PHP Composer, Go modok)
  • _vendor/ (Go)
  • gems/ (Ruby)

5. Érzékeny fájlok és helyi konfigurációk

Ezek kritikus fontosságúak a biztonság szempontjából:

  • .env
  • *.env
  • credentials.json
  • secret.txt
  • Bármilyen fájl, ami titkos adatokat tartalmaz (pl. API kulcsok, adatbázis jelszavak). Ezeket inkább környezeti változókkal vagy Docker Secret-ekkel kezeld!

6. Log fájlok

A logokat általában STDOUT-ra vagy külső log gyűjtő rendszerbe küldjük Dockerben, így a helyi log fájlok feleslegesek:

  • *.log
  • npm-debug.log* (Node.js)
  • yarn-debug.log* (Node.js)
  • output.log

7. Docker specifikus fájlok

Mivel a Dockerfile-t és a .dockerignore-t közvetlenül a Docker kliens használja, ezekre nincs szükség a build kontextusban:

  • Dockerfile
  • .dockerignore

Példák specifikus technológiákhoz

Node.js projekt

# Alapértelmezetten mindent ignorálunk
**/*

# Szükséges forráskód és konfiguráció
!./src/
!./src/**
!./public/
!./public/**
!./.env.production
!./ecosystem.config.js # pm2 config pl.

# Csomagkezelés
!./package.json
!./package-lock.json
!./yarn.lock

# Esetleges szerver indító fájl
!./server.js
!./index.js
!./app.js

# Build output
!./dist/
!./build/

Python projekt

# Alapértelmezetten mindent ignorálunk
**/*

# Szükséges forráskód és konfiguráció
!./app/
!./app/**
!./config/
!./config/**
!./.env.prod

# Csomagkezelés
!./requirements.txt
!./setup.py
!./pyproject.toml

# Esetleges indító szkript
!./main.py
!./wsgi.py

# Néhány speciális Python könyvtár
!./alembic/
!./alembic/**

Java (Maven) projekt

# Alapértelmezetten mindent ignorálunk
**/*

# Szükséges forráskód és konfiguráció
!./src/
!./src/**
!./pom.xml
!./settings.xml

# Esetleges resource fájlok, amelyek a JAR-ba kerülnek
!./resources/
!./resources/**

# Build output
!./target/*.jar

Fontos megjegyzés: a Java projekteknél gyakran a pom.xml van a gyökérben, és a src mappa is, ezért ezeket kell beemelni. A target mappát általában ignoráljuk, és a buildet a Dockerfile-ban végezzük el, például Maven wrapperrel.

Teszteljük a .dockerignore fájlunkat!

Miután létrehoztuk a .dockerignore fájlt, ellenőrizzük, hogy valóban a kívánt fájlokat zárja-e ki. Ezt a legegyszerűbben a Docker build folyamatának megfigyelésével tehetjük meg:

docker build --no-cache --progress=plain .

A --progress=plain kapcsoló részletesebb kimenetet ad a build kontextus küldéséről. Látni fogjuk a „Sending build context to Docker daemon” részt, és ha jól van konfigurálva a .dockerignore, akkor egy viszonylag kis fájlméretet kell látnunk. Ha a méret több száz megabájt, vagy gigabájtos, akkor valószínűleg valami felesleges is bekerült.

Egy másik módszer, hogy átmenetileg egy tar archívumba csomagoljuk a build kontextust, és megnézzük a tartalmát (ez manuálisabb, de segít megérteni, mi került be):

docker build . -t my-app --dry-run
# A --dry-run nem létezik, ez csak illusztráció a gondolatmenethez.
# Valójában a legjobb módja a fentebb említett --progress=plain és a méret ellenőrzése.
# Alternatívaként:
# docker build --compress --force-rm --no-cache -f Dockerfile . | head -n 20
# és figyeljük a "Sending build context..." sort.

Gyakori hibák és mire figyeljünk

  • Elfelejteni a .dockerignore-t: A leggyakoribb hiba, ami azonnal hatalmas build kontextust és lassú buildeket eredményez.
  • Túl sokat ignorálni: Ha olyan fájlokat ignorálunk, amelyekre a Dockerfile-nak szüksége van, a build el fog bukni. Mindig ellenőrizzük, hogy minden szükséges fájl (pl. package.json, forráskód) szerepel-e a kontextusban.
  • Hibás minták: Egy rosszul megírt glob minta (pl. elfelejtett perjel a könyvtár végén) okozhatja, hogy nem a megfelelő fájlokat ignoráljuk.
  • Negálás helytelen használata: A negálási szabályok (!) csak akkor működnek, ha az adott fájlt már egy korábbi szabály ignorálta. A sorrend számít!
  • Túl általános szabályok: Ha például *.yml-t ignorálunk, de van egy fontos docker-compose.yml fájlunk, amit a build során használunk (bár ritka), akkor az is kiesik. Legyünk specifikusak.

Összefoglalás

A .dockerignore fájl nem egy opcionális kiegészítő, hanem a professzionális Docker fejlesztés alapvető része. Használatával nem csak optimalizáljuk a build folyamatot, hanem jelentősen csökkentjük az image méretét és növeljük az alkalmazás biztonságát is. A „Ignore All, Then Whitelist” stratégia követésével, a kulcsfontosságú fájltípusok ignorálásával, és a rendszeres teszteléssel biztosíthatjuk, hogy a Docker image-eink mindig a lehető legtisztábbak, leggyorsabbak és legbiztonságosabbak legyenek. Ne feledd, a tökéletes .dockerignore fájl hozzájárul a hatékony CI/CD pipeline-hoz és a zökkenőmentes fejlesztői élményhez!

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük