Mewujudkan persekitaran docker siap pengeluaran untuk php

Menggunakan imej asas PHP yang betul dan mengkonfigurasi persekitaran docker yang dioptimumkan prestasi yang selamat adalah kunci untuk mencapai pengeluaran siap. 1. Gunakan PHP: 8.3-fpm-alpine sebagai imej asas untuk mengurangkan permukaan serangan dan meningkatkan prestasi; 2. Lumpuhkan fungsi berbahaya melalui php.ini adat, matikan paparan ralat, dan aktifkan Opcache dan JIT untuk meningkatkan keselamatan dan prestasi; 3. Gunakan nginx sebagai proksi terbalik untuk menyekat akses kepada fail sensitif dan memajukan permintaan PHP dengan betul kepada PHP-FPM; 4. Gunakan imej pengoptimuman pelbagai peringkat untuk menghapuskan kebergantungan pembangunan, dan menubuhkan pengguna bukan akar untuk menjalankan bekas; 5. Supervisord pilihan untuk menguruskan pelbagai proses seperti Cron; 6. Sahkan bahawa tiada kebocoran maklumat sensitif, output log kepada aliran standard, mengkonfigurasi pemeriksaan kesihatan, mengimbas kelemahan imej, dan aplikasi boleh dijalankan secara bebas. Akhirnya memastikan bahawa alam sekitar adalah selamat, prestasi tinggi, kebolehkawalan dan pemerhatian dipanggil pengeluaran siap.

Menyediakan persekitaran Docker yang siap pengeluaran untuk PHP bukan sekadar mendapatkan aplikasi anda untuk dijalankan-ini mengenai keselamatan, prestasi, penyelenggaraan, dan skalabiliti. Banyak tutorial berhenti di "Ia berfungsi secara tempatan," tetapi persekitaran pengeluaran sebenar memerlukan lebih banyak. Berikut adalah cara membina persediaan docker yang mantap, selamat dan cekap untuk PHP yang siap untuk penggunaan dunia sebenar.

✅ Gunakan imej asas php yang betul

Mulakan dengan imej asas yang minimum dan selamat. Elakkan php:latest atau pembangunan seperti php:8.3-cli .

Disyorkan:

• php:8.3-fpm-alpine untuk perkhidmatan backend (ringan, selamat)
• Pasangan dengan nginx dalam bekas yang berasingan untuk melayani trafik web

Mengapa Alpine?
Permukaan serangan yang lebih kecil, membina lebih cepat, dan penggunaan sumber yang lebih rendah. Tetapi berhati -hati: Sesetengah sambungan PHP mungkin memerlukan langkah -langkah tambahan untuk dipasang di Alpine kerana Musl vs GLIBC.

 Dari PHP: 8.3-fpm-alpine

# Pasang sambungan PHP yang penting (disusun untuk Alpine)
Jalankan APK Tambah --No-cache \
    nginx \
    penyelia \
    postgresql-dev \
    && docker-php-ext-install -j $ (nproc) \
    pdo_pgsql \
    opcache \
    && docker-php-ext-enable pdo_pgsql

Elakkan RUN apk add --update && pecl install ... melainkan benar -benar perlu -setiap arahan meningkatkan saiz imej dan membina masa.

? Konfigurasi PHP selamat

Tetapan php.ini lalai tidak selamat pengeluaran. Mengatasi mereka secara eksplisit.

Buat fail konfigurasi tersuai:

 ./docker/php/php.ini
./docker/php/opcache.ini

Contoh php.ini tweak:

 ; Lumpuhkan fungsi berbahaya
disable_functions = exec, passthru, shell_exec, sistem, proc_open, popen

; Had pendedahan
Expose_php = OFF
display_errors = off
log_errors = on

; Tetapkan had yang munasabah
upload_max_filesize = 16m
post_max_size = 18m
max_execution_time = 30

Opcache (kritikal untuk prestasi):

 opcache.enable = 1
opcache.validate_timestamps = 0; Hanya dalam pengeluaran (gunakan penyebaran rolling untuk membersihkan)
opcache.max_accelerated_files = 20000
opcache.memory_consumption = 256
opcache.jit = 1205; Dayakan JIT dalam Php 8

Salin ke dalam imej:

 Copy ./docker/php/php.ini /usr/local/etc/php/conf.d/app.ini
Copy ./docker/php/opcache.ini /usr/local/etc/php/conf.d/opcache.ini

? Gunakan PHP-FPM Proksi (NGINX)

Jangan sekali-kali mendedahkan PHP-FPM secara langsung. Gunakan nginx sebagai proksi terbalik.

Struktur biasa:

 # dock-compose.yml (untuk pementasan/ci)
Versi: '3.8'
Perkhidmatan:
  nginx:
    Imej: nginx: alpine
    Pelabuhan:
      - "80:80"
    Jilid:
      - ./nginx.conf:/etc/nginx/nginx.conf
      - ./public:/var/www/html/public
    bergantung_on:
      - php

  PHP:
    Membina :.
    Jilid:
      - ./:/var/www/html
    Persekitaran:
      - app_env = prod

Sorotan konfigurasi nginx:

• Hidangkan hanya public/ direktori
• Blok akses ke fail .env , .git , dan konfigurasi
• Tetapkan tajuk yang betul (keselamatan, caching)
• Lulus permintaan php ke php:9000

Contoh Blok Lokasi:

 Lokasi ~ \ .php $ {
    fastcgi_pass php: 9000;
    fastcgi_index index.php;
    fastcgi_param script_filename/var/www/html/public $ fastcgi_script_name;
    termasuk fastcgi_params;
}

? Mengoptimumkan untuk membina dan runtime

Multi-stage membina (jika diperlukan untuk alat seperti komposer):

 # Membina peringkat
Dari komposer: terkini sebagai komposer
Salin composer.json composer.lock ./
Jalankan Pemasangan Komposer --No-Dev-Mengoptimumkan-Autoloader-No-Scripts

# Peringkat Akhir
Dari PHP: 8.3-fpm-alpine
Salin -dari = komposer/app/vendor ./Vendor
Salin. .

Pengoptimuman Runtime Utama:

• Tetapkan APP_ENV=prod untuk membolehkan pengoptimuman kerangka (misalnya, Symfony, Laravel)
• Gunakan --optimize-autoloader dan --classmap-authoritative dalam komposer
• Jalankan sebagai pengguna bukan akar:

   Jalankan Adduser -D -S /BIN /SH WWW
  Pengguna www

? Onton tambah penyelia (pilihan tetapi berguna)

Sekiranya anda perlu menjalankan PHP-FPM dan Cron atau daemon lain:

 Jalankan APK Tambah-Penyelia No-Cache
Copy ./docker/supervisord.conf /etc/supervisor/conf.d/supervisord.conf
Cmd ["/usr/bin/supervisord", "-c", "/etc/supervisor/conf.d/supervisord.conf"]

Konfigurasi Supervisord:

 [Supervisord]
Nodaemon = benar

[Program: PHP-FPM]
perintah = php-fpm
stdout_logfile =/dev/stdout
stderr_logfile =/dev/stderr

[Program: Cron]
perintah = cron -f

? Ujian sebelum menggunakan

Sebelum menyebutnya "siap sedia," sahkan:

• [] Tiada maklumat sensitif dalam persekitaran atau konfigurasi
• [] Log ralat pergi ke stdout/stderr (untuk pemandu pembalakan docker)
• [] Pemeriksaan kesihatan ditakrifkan:

   HealthCheck-interval = 30s --Timeout = 3s-start-tempoh = 5s-retries = 3 \
    Cmd curl -f http: // localhost/kesihatan || Keluar 1

• [] Imej diimbas untuk kelemahan (Gunakan docker scan atau alat CI)
• [] Ia berfungsi tanpa pemasangan volum (iaitu, kod tertanam)

---

Nota akhir

Baki persediaan PHP Docker yang siap dihasilkan:

• Keselamatan (imej minimum, konfigurasi selamat, pengguna bukan akar)
• Prestasi (Opcache, JIT, Pengoptimuman Autoloader)
• Pengekalkan (jelas dockerfiles, pemisahan kebimbangan)
• Observability (Log ke STDOUT, Pemeriksaan Kesihatan)

Anda tidak memerlukan Kubernet pada hari pertama, tetapi anda memerlukan asas yang kukuh. Mulakan konfigurasi mudah, automatik, dan ujian seperti sudah dalam pengeluaran.

Pada asasnya: jika ia tidak selamat, cepat, dan dapat dilihat, ia bukan pengeluaran-siap.

Atas ialah kandungan terperinci Mewujudkan persekitaran docker siap pengeluaran untuk php. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!