Day 11 基础镜像选择指南：Alpine vs Ubuntu vs Distroless

guozi

🐳 基础镜像选择指南：Alpine vs Ubuntu vs Distroless

Docker 30天实战系列 · Day 11

在昨天学习了多阶段构建后，你可能会问：

🤔 "运行阶段该用什么镜像？"

📦 "Alpine 那么小，是不是最佳选择？"

🔒 "Distroless 是什么？安全性真的更好吗？"

今天，我们深入对比主流基础镜像，帮你做出最佳选择。

━━━━━━━━━━━━━━━━━━━━

本文你将学到

✅ 理解主流基础镜像的特点和差异

✅ 学会根据场景选择合适的基础镜像

✅ 掌握各类镜像的安全性和兼容性考量

✅ 了解 Distroless 镜像的使用方法

阅读时间：约 12 分钟
难度等级：⭐⭐⭐☆☆

━━━━━━━━━━━━━━━━━━━━

基础镜像分类

1. ┌─────────────────────────────────────────────────────────────┐
2. │                    Docker 基础镜像分类                       │
3. ├─────────────────────────────────────────────────────────────┤
4. │                                                             │
5. │  通用发行版                    精简/专用镜像                  │
6. │  ┌──────────────┐            ┌──────────────┐              │
7. │  │   Ubuntu     │            │   Alpine     │              │
8. │  │   Debian     │            │  Distroless  │              │
9. │  │   CentOS     │            │   Scratch    │              │
10. │  │   Fedora     │            │   Busybox    │              │
11. │  └──────────────┘            └──────────────┘              │
12. │                                                             │
13. │  特点：功能完整、体积较大        特点：体积小、功能精简         │
14. │  适合：开发调试、复杂应用        适合：生产部署、微服务          │
15. │                                                             │
16. └─────────────────────────────────────────────────────────────┘

复制代码

━━━━━━━━━━━━━━━━━━━━

主流镜像对比

镜像大小对比

| 镜像 | 大小 | 包管理器 | Shell |
|------|------|----------|-------|
| ubuntu:22.04 | ~77MB | apt | bash |
| debian:bookworm | ~124MB | apt | bash |
| debian:bookworm-slim | ~74MB | apt | bash |
| alpine:3.18 | ~7MB | apk | sh |
| gcr.io/distroless/static | ~2MB | 无 | 无 |
| scratch | 0MB | 无 | 无 |

特性对比

| 特性 | Ubuntu | Debian | Alpine | Distroless | Scratch |
|------|--------|--------|--------|------------|---------|
| 体积 | 大 | 中 | 小 | 极小 | 零 |
| 包管理 | ✅ apt | ✅ apt | ✅ apk | ❌ | ❌ |
| Shell | ✅ bash | ✅ bash | ✅ sh | ❌ | ❌ |
| 调试工具 | ✅ | ✅ | 部分 | ❌ | ❌ |
| glibc | ✅ | ✅ | ❌ musl | ✅ | - |
| 安全性 | 中 | 中 | 高 | 极高 | 极高 |

━━━━━━━━━━━━━━━━━━━━

详解各类镜像

1. Ubuntu / Debian

特点：

最接近完整 Linux 系统

包含完整工具链

使用 glibc（兼容性最好）

社区支持完善

适用场景：

开发和调试环境

需要大量系统工具的应用

对兼容性要求高的场景

新手学习使用

1. FROM ubuntu:22.04
2. RUN apt-get update && apt-get install -y \
3.     curl \
4.     vim \
5.     && rm -rf /var/lib/apt/lists/*

复制代码

优化建议：使用

1. -slim

复制代码

变体

1. FROM debian:bookworm-slim

复制代码

━━━━━━━━━━━━━━━━━━━━

2. Alpine Linux

特点：

极小体积（约 7MB）

使用 musl libc（非 glibc）

使用 apk 包管理器

安全导向设计

适用场景：

对镜像大小敏感的场景

简单应用和微服务

CI/CD 流水线

静态编译的程序

1. FROM alpine:3.18
3. # 安装常用工具
4. RUN apk add --no-cache \
5.     curl \
6.     ca-certificates
8. # 时区设置
9. RUN apk add --no-cache tzdata && \
10.     cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

复制代码

注意事项：

⚠️ musl vs glibc 兼容性问题

1. # 某些依赖 glibc 的程序可能无法运行
2. # 错误示例：
3. # Error loading shared library libstdc++.so.6
5. # 解决方案1：安装兼容层
6. RUN apk add --no-cache libc6-compat
8. # 解决方案2：使用 glibc 版本的 Alpine
9. FROM frolvlad/alpine-glibc:alpine-3.18

复制代码

⚠️ DNS 解析差异

Alpine 的 musl DNS 解析行为与 glibc 不同，某些情况下可能出现问题：

1. # 添加 DNS 解析修复
2. RUN echo "hosts: files dns" > /etc/nsswitch.conf

复制代码

━━━━━━━━━━━━━━━━━━━━

3. Distroless

什么是 Distroless？

Google 推出的精简镜像，只包含应用运行所需的最小依赖，不包含：

包管理器

Shell

任何非必要的程序

特点：

极小攻击面

符合最小权限原则

适合安全敏感的生产环境

无法 shell 进入容器

可用变体：

| 镜像 | 用途 | 大小 |
|------|------|------|
| gcr.io/distroless/static | 静态编译程序(Go/Rust) | ~2MB |
| gcr.io/distroless/base | 需要 glibc 的程序 | ~20MB |
| gcr.io/distroless/java | Java 应用 | ~200MB |
| gcr.io/distroless/python3 | Python 应用 | ~50MB |
| gcr.io/distroless/nodejs | Node.js 应用 | ~120MB |

使用示例：

1. # Go 应用使用 distroless
2. FROM golang:1.21 AS builder
3. WORKDIR /app
4. COPY . .
5. RUN CGO_ENABLED=0 go build -o main .
7. FROM gcr.io/distroless/static:nonroot
8. COPY --from=builder /app/main /
9. USER nonroot:nonroot
10. ENTRYPOINT ["/main"]

复制代码

1. # Java 应用使用 distroless
2. FROM maven:3.9 AS builder
3. WORKDIR /app
4. COPY . .
5. RUN mvn package -DskipTests
7. FROM gcr.io/distroless/java17-debian11
8. COPY --from=builder /app/target/*.jar /app.jar
9. ENTRYPOINT ["java", "-jar", "/app.jar"]

复制代码

调试 Distroless：

由于没有 Shell，调试需要使用 debug 变体：

1. # 使用 debug 版本（包含 busybox shell）
2. docker run -it gcr.io/distroless/static:debug sh

复制代码

━━━━━━━━━━━━━━━━━━━━

4. Scratch

特点：

完全空白的镜像（0 字节）

只能运行静态编译的程序

无任何运行时依赖

适用场景：

静态编译的 Go 程序

Rust 程序

静态链接的 C/C++ 程序

1. FROM golang:1.21 AS builder
2. WORKDIR /app
3. COPY . .
4. # 必须静态编译
5. RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-s -w" -o main .
7. FROM scratch
8. # 如果需要 HTTPS，复制 CA 证书
9. COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
10. COPY --from=builder /app/main /main
11. ENTRYPOINT ["/main"]

复制代码

限制：

无法 exec 进入容器

无法使用 shell 命令

无法安装任何东西

没有用户系统（默认 root）

━━━━━━━━━━━━━━━━━━━━

选择决策树

1.                     开始选择基础镜像
2.                           │
3.                           ▼
4.               ┌─── 是否需要调试能力？───┐
5.               │                        │
6.              是                       否
7.               │                        │
8.               ▼                        ▼
9.      ┌── 生产 or 开发？──┐      程序是静态编译的？
10.      │                   │           │
11.     开发               生产         是    否
12.      │                   │           │     │
13.      ▼                   ▼           ▼     ▼
14.   Ubuntu/          Alpine       Scratch  Distroless
15.   Debian-slim                            /Alpine

复制代码

快速选择指南

| 场景 | 推荐镜像 | 理由 |
|------|----------|------|
| 开发调试 | ubuntu / debian-slim | 工具完整，便于调试 |
| Go/Rust 生产 | scratch / distroless | 静态编译，最小体积 |
| Node.js 生产 | node:alpine / distroless | 平衡体积和兼容性 |
| Python 生产 | python:slim / distroless | slim 版本够用 |
| Java 生产 | distroless/java | 安全且体积小 |
| 快速原型 | alpine | 体积小，下载快 |
| 安全优先 | distroless | 最小攻击面 |

━━━━━━━━━━━━━━━━━━━━

安全性对比

CVE 漏洞统计

典型情况下的漏洞数量对比：

| 镜像 | 高危 | 中危 | 低危 |
|------|------|------|------|
| ubuntu:22.04 | 5-15 | 20-40 | 50+ |
| debian:bookworm | 5-10 | 15-30 | 40+ |
| alpine:3.18 | 0-3 | 5-10 | 10-20 |
| distroless | 0-1 | 0-5 | 5-10 |

越小的镜像，潜在漏洞越少！

安全最佳实践

1. # 1. 使用特定版本标签（不用 latest）
2. FROM alpine:3.18.4
4. # 2. 使用非 root 用户
5. RUN adduser -D -u 1000 appuser
6. USER appuser
8. # 3. 只复制必要文件
9. COPY --chown=appuser:appuser ./app /app
11. # 4. 设置只读文件系统（运行时）
12. # docker run --read-only myapp

复制代码

━━━━━━━━━━━━━━━━━━━━

实战对比

同一应用的不同基础镜像

以一个简单的 Go Web 服务为例：

| 基础镜像 | 最终大小 | 构建时间 | 漏洞数 |
|----------|----------|----------|--------|
| golang:1.21 | 1.2GB | 基准 | 高 |
| ubuntu:22.04 | 85MB | +10s | 中 |
| alpine:3.18 | 15MB | +5s | 低 |
| distroless/static | 8MB | +2s | 极低 |
| scratch | 6MB | 基准 | 零 |

━━━━━━━━━━━━━━━━━━━━

🤔 常见问题

Q1：Alpine 的 musl 问题多吗？

A：现代应用通常没问题。以下情况需注意：

依赖 glibc 特性的 C 扩展

某些性能敏感的数值计算

DNS 解析的边缘情况

Q2：Distroless 如何调试？

A：

1. # 方案1：使用 debug 变体
2. FROM gcr.io/distroless/static:debug
4. # 方案2：使用 ephemeral container (K8s)
5. kubectl debug -it podname --image=busybox

复制代码

Q3：scratch 镜像的时区问题？

A：

1. FROM builder AS builder
2. # ...
4. FROM scratch
5. # 复制时区文件
6. COPY --from=builder /usr/share/zoneinfo /usr/share/zoneinfo
7. ENV TZ=Asia/Shanghai

复制代码

━━━━━━━━━━━━━━━━━━━━

📚 本文总结

核心要点

镜像选择原则：

开发用完整镜像

生产用精简镜像

安全敏感用 Distroless

各镜像特点：

Ubuntu/Debian：完整但大

Alpine：小但有兼容性问题

Distroless：安全但无法调试

Scratch：最小但限制最多

安全优先：

镜像越小，攻击面越小

始终使用非 root 用户

使用固定版本标签

选择速查表

| 你的需求 | 选择 |
|----------|------|
| 最小体积 | scratch |
| 最高安全 | distroless |
| 最佳兼容 | debian-slim |
| 快速开发 | alpine |
| 完整工具 | ubuntu |

━━━━━━━━━━━━━━━━━━━━

下一步

明天我们将学习：Day 12 - 镜像优化实战：从 1.2GB 到 80MB 的优化之路

通过真实案例，学习完整的镜像优化流程。

━━━━━━━━━━━━━━━━━━━━

🐳 加入 Docker 学习群

扫码加入 Docker 学习交流群，和大家一起讨论实践：



🔔 关注公众号，不错过每一篇干货！