GitHub Actions: Docker-Images Automatisch Erstellen und Bereitstellen
GitHub Actions bietet eine leistungsstarke CI/CD-Plattform, die direkt in Ihr Repository integriert ist. In Kombination mit Docker koennen Sie vollautomatische Build-Pipelines erstellen, die Ihre Container-Images bauen, testen, scannen und in einer Registry veroeffentlichen. Dieser Leitfaden zeigt Ihnen, wie Sie einen produktionsreifen Workflow aufsetzen.
Grundlegender Docker-Build-Workflow
Erstellen Sie die Workflow-Datei .github/workflows/docker-build.yml:
name: Docker Build and Push
on:
push:
branches: [main]
tags: ['v*']
pull_request:
branches: [main]
env:
REGISTRY: ghcr.io
IMAGE_NAME: ${{ github.repository }}
jobs:
build:
runs-on: ubuntu-latest
permissions:
contents: read
packages: write
steps:
- name: Checkout repository
uses: actions/checkout@v4
- name: Set up QEMU
uses: docker/setup-qemu-action@v3
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v3
- name: Log in to GHCR
if: github.event_name != 'pull_request'
uses: docker/login-action@v3
with:
registry: ${{ env.REGISTRY }}
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- name: Extract metadata
id: meta
uses: docker/metadata-action@v5
with:
images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
tags: |
type=semver,pattern={{version}}
type=semver,pattern={{major}}.{{minor}}
type=sha,prefix=
type=raw,value=latest,enable={{is_default_branch}}
- name: Build and push
uses: docker/build-push-action@v5
with:
context: .
platforms: linux/amd64,linux/arm64
push: ${{ github.event_name != 'pull_request' }}
tags: ${{ steps.meta.outputs.tags }}
labels: ${{ steps.meta.outputs.labels }}
cache-from: type=gha
cache-to: type=gha,mode=maxDieser Workflow wird bei jedem Push zum main-Branch und bei neuen Tags ausgefuehrt. Pull Requests werden gebaut, aber nicht veroeffentlicht.
Multi-Registry-Veroeffentlichung
Um Images gleichzeitig auf GHCR und Docker Hub zu veroeffentlichen, fuegen Sie einen zweiten Login-Schritt hinzu:
- name: Log in to Docker Hub
if: github.event_name != 'pull_request'
uses: docker/login-action@v3
with:
username: ${{ secrets.DOCKERHUB_USERNAME }}
password: ${{ secrets.DOCKERHUB_TOKEN }}Erweitern Sie die Metadata-Action um das Docker-Hub-Image:
- name: Extract metadata
id: meta
uses: docker/metadata-action@v5
with:
images: |
${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
${{ secrets.DOCKERHUB_USERNAME }}/${{ github.event.repository.name }}Schwachstellenscan mit Trivy
Fuegen Sie einen automatischen Sicherheitsscan hinzu, der bei kritischen Schwachstellen den Build fehlschlagen laesst:
- name: Run Trivy vulnerability scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.sha }}
format: 'sarif'
output: 'trivy-results.sarif'
severity: 'CRITICAL,HIGH'
exit-code: '1'
- name: Upload Trivy scan results
uses: github/codeql-action/upload-sarif@v3
if: always()
with:
sarif_file: 'trivy-results.sarif'Die Ergebnisse werden als SARIF-Datei exportiert und in der Security-Registerkarte Ihres Repositories angezeigt.
Build-Optimierung mit Caching
Der Workflow nutzt bereits den GitHub Actions Cache (type=gha). Fuer weitere Optimierungen koennen Sie Ihr Dockerfile mit Multi-Stage-Builds strukturieren:
FROM node:20-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production
COPY . .
RUN npm run build
FROM node:20-alpine AS runtime
WORKDIR /app
COPY --from=builder /app/dist ./dist
COPY --from=builder /app/node_modules ./node_modules
EXPOSE 3000
CMD ["node", "dist/server.js"]Fazit
Mit GitHub Actions und Docker erstellen Sie robuste CI/CD-Pipelines, die Ihre Container-Images automatisch bauen, testen und sicher veroeffentlichen. Nutzen Sie Multi-Arch-Builds fuer maximale Kompatibilitaet, aktivieren Sie Schwachstellenscans und optimieren Sie die Build-Zeiten mit Caching-Strategien.