解读

国内云原生面试常把“镜像体积”作为性能与成本的双重考点。Rust 编译出的单文件二进制虽然已剥离调试符号，但若直接把编译环境（含源码、依赖缓存、工具链）打包进镜像，体积轻易突破 1 GB。多阶段构建的核心思路是：第一阶段用完整工具链把代码编译成可执行文件；第二阶段仅把该文件及运行时必需的最小系统（甚至空镜像）打包，从而把最终镜像压到 10~30 MB 甚至 5 MB 以内。面试官期望你不仅能写出 Dockerfile，还能解释为什么能省空间、国内镜像源如何加速、缓存怎样复用、安全如何兜底。

知识点

1. Cargo 的依赖缓存目录：/usr/local/cargo/registry 与 target，若与构建缓存卷绑定可大幅缩短 CI 时间。
2. Rust 静态链接：设置 RUSTFLAGS='-C target-feature=+crt-static' 可把 glibc、musl 等全部打进单文件，第二阶段无需基础系统库。
3. 国内源替换：修改 Dockerfile 环境变量 CARGO_REGISTRIES_CRATES_IO_INDEX=https://mirrors.tuna.tsinghua.edu.cn/git/crates.io-index.git 避免拉取超时。
4. cargo-chef：先把 Cargo.toml 做“配方”阶段，缓存依赖层，避免源码变动即全量重编。
5. upx 压缩：第二阶段可加 upx --best --lzma app，再减小 30~40 %，但需权衡启动时解压的 CPU 开销。
6. distroless/cc-alpine：若必须动态链接，可选谷歌 distroless 或国内阿里云 alpine，体积 5~15 MB，且无包管理器降低攻击面。
7. docker buildx --platform：国内云厂商同时提供 x86 与 ARM 节点，一次性交叉编译并合并清单，节省维护成本。

答案

以下给出国内可落地的最小体积多阶段模板，假设项目名为 demo-server，使用 musl 静态链接，最终镜像约 6 MB：

# ======= 阶段 1：依赖缓存层 =======
FROM rust:1.78-alpine as chef
# 换国内源
RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories \
 && apk add --no-cache musl-dev pkgconfig openssl-dev
WORKDIR /app
RUN cargo install cargo-chef --locked
# 生成“配方”
FROM chef as planner
COPY . .
RUN cargo chef prepare --recipe-path recipe.json

# ======= 阶段 2：编译 =======
FROM chef as builder
COPY --from=planner /app/recipe.json recipe.json
# 仅构建依赖，层缓存
RUN cargo chef cook --release --recipe-path recipe.json
# 再复制完整源码，增量编译
COPY . .
RUN RUSTFLAGS='-C target-feature=+crt-static' \
    cargo build --release --bin demo-server \
 && strip /app/target/release/demo-server \
 && upx --best --lzma /app/target/release/demo-server

# ======= 阶段 3：运行 =======
FROM scratch
COPY --from=builder /app/target/release/demo-server /demo-server
# 如需 CA 证书
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
ENTRYPOINT ["/demo-server"]

构建命令：

docker buildx build --platform linux/amd64,linux/arm64 \
  -t registry.cn-hangzhou.aliyuncs.com/yourname/demo-server:0.1.0 \
  --push .

效果：

• 第一阶段缓存层 400 MB，但不会进入生产仓库；
• 最终镜像仅含单文件与根证书，压缩后 6.2 MB；
• 在阿里云 ACR 的公网拉取时间从 3 分钟降到 8 秒，节省 80 % 流量费用。

拓展思考

1. 缓存失效策略：若 Cargo.lock 不变，CI 可直接复用上一轮的 target/ 与 ~/.cargo，国内 GitHub Actions 自建 Runner 可把缓存目录挂到 SSD，编译时间从 8 分钟降到 45 秒。
2. 闭源合规：多阶段构建避免把源码留在镜像层，满足金融客户“代码不出境”审计要求；可再配合 docker-slim 做白盒扫描，进一步剔除未用符号。
3. 动态链接场景：若必须依赖 glibc 专用 .so，可用 ldd 找出真实依赖，再写脚本把所需 .so.* 拷贝到 distroless，体积仍控制在 20 MB 以内，并保留 FIPS 合规的 OpenSSL。
4. 安全更新：第二阶段用 scratch 虽最小，但无法打系统补丁；可改为 alpine 并启用 apk add --no-cache --upgrade 作为每日重建任务，配合 ACR 的漏洞扫描 gate，实现“零日”自动回滚。