March 1, 2025
10 bonnes pratiques pour des conteneurs Java performants et sécurisés
1- Utiliser une image légère. Pour optimiser la taille et la rapidité de vos conteneurs, préférez une image comme eclipse-temurin:jdk-17-alpine plutôt que openjdk:17. Elle est plus compacte, plus rapide à télécharger et réduit la consommation de ressources.
2- Regrouper les commandes run. Au lieu d’avoir plusieurs instructions RUN séparées, fusionnez-les avec && pour minimiser la taille de l’image et améliorer l’efficacité du cache Docker.
3- Faire un build multi-stage. Construisez votre application avec Maven ou Gradle dans une première étape, puis transférez uniquement le fichier .jar dans une image allégée. Cela réduit la taille finale et améliore la sécurité en n’intégrant que les fichiers nécessaires.
4- Définir un répertoire de travail (workdir). L’instruction WORKDIR permet d’organiser les fichiers proprement et d’éviter la manipulation de chemins absolus dans les instructions suivantes du Dockerfile.
5- Utiliser cmd au lieu d’entrypoint si besoin. Privilégiez cmd ["java", "-jar", "app.jar"] pour garder plus de flexibilité, notamment si vous devez modifier les paramètres au lancement du conteneur.
6- Ne pas exécuter l’application en root. Pour limiter les risques de sécurité, créez un utilisateur spécifique dans le conteneur et exécutez l’application avec ce compte plutôt qu’avec l’utilisateur root.
7- Ne pas stocker d’informations sensibles dans l’image. Les mots de passe, clés API et autres secrets ne doivent jamais être intégrés dans le Dockerfile. Utilisez des variables d’environnement ou un gestionnaire de secrets sécurisé.
8- Ajouter un .dockerignore. Excluez les fichiers inutiles (target/, .git/, node_modules/…) pour éviter d’alourdir l’image et de risquer d’exposer des fichiers confidentiels.
9- Utiliser des tags précis pour l’image. Évitez latest, qui peut entraîner des mises à jour non contrôlées. Privilégiez une version bien définie comme eclipse-temurin:17.0.9_8-jdk-alpine pour garantir la stabilité de votre environnement.
10- Scanner l’image pour détecter les failles. Des outils comme Trivy ou Docker Scout permettent d’analyser votre image afin d’identifier les vulnérabilités et de s’assurer qu’elle est sécurisée.
Pour aller plus loin, voici un article détaillé sur les bonnes pratiques pour construire des conteneurs Java avec Docker :
https://lnkd.in/e28tQJHN
🙌
91 Likes
March 1, 2025
Discussion about this post
Wilfried AGO
6 months ago
Software Engineer | Cloud Native, Data Engineering & DevOps Enthusiast
Excellent post ! J’ai récemment regardé une conférence de Matthias Haeussler à Devoxx UK, où il explique plusieurs techniques pour optimiser la taille des images Docker Java. L’approche qui m’a le plus intéressé est celle de Jib (proposé par Google), qui permet de construire des images efficacement sans avoir besoin de Docker.
Si ça vous intéresse, voici le lien vers la conférence :
🔗 https://youtu.be/HFhIqfKn_XI
Sidonie DJUISSI FOHOUO
6 months ago
Analyste-Conceptrice logiciel | Développeuse Full Stack| Montage vidéo | Ambassadrice 10000 CODEURS Cameroun | Assistance technique chez INTELCIA | Vente et écoute active
Conseils utiles.🙏
Rodrigue Nzogang Nzomo
6 months ago
Associé Directeur chez TMR COMPUTING LTD | Intégration ERP - Certification Odoo 17
Très informatif
