マルチステージビルドでイメージサイズを劇的に削減できるべ

PHPアプリケーションのコンテナイメージを作成する際、ビルドに必要なツール（Composer、各種コンパイラなど）をすべて含めてしまうと、イメージが肥大化し、セキュリティリスクも増大します。

この課題を解決するのが、コンテナビルドの効率を最大化する技術、マルチステージビルドです。

マルチステージビルドとは？

マルチステージビルドとは、一つのDockerfile内で複数のFROM命令（ステージ）を定義し、最終的なイメージにデプロイに必要なファイルだけをコピーする手法です。

役割分担

1. ビルドステージ (Build Stage):
   • 目的: アプリケーションのビルドと依存関係の解決。
   • 使用イメージ: 大きなイメージ（例: composer:latest、php:8.3-fpmなど）。
   • 作業: Composerによる依存パッケージのインストール、フロントエンドアセットのコンパイル、テストの実行などを行います。
   • 特徴: このステージは最終的なデプロイには使用されません。
2. 最終ステージ (Final Stage):
   • 目的: アプリケーションの実行環境の構築。
   • 使用イメージ: 軽量なイメージ（例: php:8.3-fpm-alpine、distrolessなど）。
   • 作業: ビルドステージで生成された成果物（例: vendorディレクトリ、コンパイル済みバイナリ、PHPコード）のみをコピーします。

メリット

• イメージサイズの劇的な削減: ビルドツールやキャッシュ、開発用の依存関係が最終イメージから完全に除外されます。
• セキュリティ向上: 最終イメージが最小限の構成になるため、攻撃対象となる領域が縮小します。
• ビルド時間の短縮: 軽量なイメージを使用することで、プル時間が短くなります。

PHPアプリケーションでのマルチステージビルド

PHPアプリケーションの典型的なマルチステージビルドは、Composerによる依存関係の解決を分離することに焦点を当てます。

Dockerfile

以下のDockerfileは、Composerで依存関係を解決するステージと、それを使ってアプリケーションを実行する最小限のステージに分離しています。

# =============================================
# ステージ1：build_stage（依存関係の解決）
# =============================================
FROM composer:latest AS build_stage 
WORKDIR /app 
# 先に依存関係ファイルだけをコピー（キャッシュ効率化のため）
COPY composer.json composer.lock ./ 
# 本番環境用に最適化してインストール 
# --no-dev: 開発用パッケージを除外
# --optimize-autoloader: オートローダーを最適化して高速化 
RUN composer install \
--no-dev \
--no-interaction \
--optimize-autoloader 
# =============================================
# ステージ2：final_stage（最小限の実行環境）
# =============================================
# 軽量なAlpine LinuxベースのPHP-FPMイメージを使用
FROM php:8.3-fpm-alpine AS final_stage 
# セキュリティ：実行用の非特権ユーザーを作成
RUN adduser -D appuser
USER appuser
WORKDIR /var/www/html
# ステージ1からvendorディレクトリのみをコピー
# --chown で所有権を同時に変更するのがポイント
COPY --from=build_stage --chown=appuser:appuser /app/vendor ./vendor
# アプリケーションのソースコードをコピー
COPY --chown=appuser:appuser . .
 
# PHP-FPMを起動 
EXPOSE 9000
CMD ["php-fpm"]