Qual a diferenca entre GHCR e Docker Hub?

GHCR (GitHub Container Registry) esta integrado ao GitHub, usa as mesmas permissoes dos repositorios e oferece armazenamento gratuito para repositorios publicos. Docker Hub e o registry mais popular com maior ecossistema de imagens oficiais, mas limita pulls anonimos. Muitos projetos publicam em ambos.

Como fazer build multi-arquitetura com GitHub Actions?

Use a action docker/build-push-action com docker/setup-qemu-action para emulacao e docker/setup-buildx-action para o builder. Defina 'platforms: linux/amd64,linux/arm64' para gerar imagens compativeis com processadores x86_64 e ARM simultaneamente.

Como armazenar segredos do Docker no GitHub Actions?

Va em Settings > Secrets and variables > Actions no seu repositorio. Crie segredos como DOCKER_USERNAME e DOCKER_PASSWORD. No workflow, acesse com '${{ secrets.DOCKER_USERNAME }}'. Nunca exponha credenciais diretamente no arquivo YAML do workflow.

Como escanear vulnerabilidades nas imagens Docker?

Use a action aquasecurity/trivy-action no workflow para escanear a imagem apos o build. Trivy detecta vulnerabilidades em pacotes do SO e dependencias de aplicacao. Configure para falhar o workflow se vulnerabilidades criticas forem encontradas.

GitHub Actions: Construir e Implantar Imagens Docker

Automatizar o build e a publicacao de imagens Docker com GitHub Actions elimina erros manuais e garante que cada commit na branch principal gere uma imagem testada e pronta para deploy. Este guia mostra como criar um pipeline completo de CI/CD para containers Docker.

Criando o Workflow de Build

O workflow do GitHub Actions e definido em um arquivo YAML no diretorio .github/workflows/. Configure triggers para executar automaticamente em pushes e pull requests:

# .github/workflows/docker-build.yml
name: Build and Push Docker Image

on:
  push:
    branches: [main]
    tags: ['v*']
  pull_request:
    branches: [main]

env:
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}

jobs:
  build:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      packages: write

    steps:
      - name: Checkout repository
        uses: actions/checkout@v4

      - name: Set up QEMU
        uses: docker/setup-qemu-action@v3

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v3

      - name: Log in to GHCR
        if: github.event_name != 'pull_request'
        uses: docker/login-action@v3
        with:
          registry: ${{ env.REGISTRY }}
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}

      - name: Extract metadata
        id: meta
        uses: docker/metadata-action@v5
        with:
          images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
          tags: |
            type=semver,pattern={{version}}
            type=sha,prefix=
            type=raw,value=latest,enable={{is_default_branch}}

      - name: Build and push
        uses: docker/build-push-action@v5
        with:
          context: .
          platforms: linux/amd64,linux/arm64
          push: ${{ github.event_name != 'pull_request' }}
          tags: ${{ steps.meta.outputs.tags }}
          labels: ${{ steps.meta.outputs.labels }}
          cache-from: type=gha
          cache-to: type=gha,mode=max

O workflow utiliza cache do GitHub Actions (cache-from: type=gha) para acelerar builds subsequentes, reutilizando camadas Docker que nao mudaram. A action metadata-action gera tags automaticas baseadas em semantic versioning e SHA do commit.

Publicando em Multiplos Registries

Para publicar simultaneamente no GHCR e Docker Hub, adicione um segundo step de login e inclua ambos os registries nas tags:

      - name: Log in to Docker Hub
        if: github.event_name != 'pull_request'
        uses: docker/login-action@v3
        with:
          username: ${{ secrets.DOCKERHUB_USERNAME }}
          password: ${{ secrets.DOCKERHUB_TOKEN }}

      - name: Extract metadata for Docker Hub
        id: meta-dockerhub
        uses: docker/metadata-action@v5
        with:
          images: docker.io/${{ secrets.DOCKERHUB_USERNAME }}/${{ github.event.repository.name }}
          tags: |
            type=semver,pattern={{version}}
            type=raw,value=latest,enable={{is_default_branch}}

Armazene as credenciais do Docker Hub como segredos do repositorio em Settings > Secrets and variables > Actions. Use tokens de acesso em vez de senhas para maior seguranca.

Escaneamento de Vulnerabilidades

Adicione escaneamento automatico de seguranca com Trivy para detectar vulnerabilidades antes do deploy:

      - name: Run Trivy vulnerability scanner
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:latest
          format: 'sarif'
          output: 'trivy-results.sarif'
          severity: 'CRITICAL,HIGH'

      - name: Upload Trivy scan results
        uses: github/codeql-action/upload-sarif@v3
        if: always()
        with:
          sarif_file: 'trivy-results.sarif'

Os resultados do Trivy sao carregados como SARIF e aparecem na aba Security do repositorio. Configure o step para falhar o workflow (exit-code: '1') quando vulnerabilidades criticas forem encontradas, bloqueando o merge do pull request.

Otimizando o Dockerfile para CI/CD

Um Dockerfile bem estruturado com multi-stage build reduz o tamanho da imagem final e melhora a seguranca:

# Stage 1: Build
FROM node:20-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production
COPY . .
RUN npm run build

# Stage 2: Production
FROM node:20-alpine
RUN addgroup -g 1001 appgroup && \
    adduser -u 1001 -G appgroup -s /bin/sh -D appuser
WORKDIR /app
COPY --from=builder --chown=appuser:appgroup /app/dist ./dist
COPY --from=builder --chown=appuser:appgroup /app/node_modules ./node_modules
USER appuser
EXPOSE 3000
CMD ["node", "dist/server.js"]

Use .dockerignore para excluir arquivos desnecessarios do contexto de build, como node_modules, .git, e arquivos de teste. Isso acelera o build e reduz o tamanho da imagem.

Resumo

GitHub Actions com Docker oferece um pipeline de CI/CD completo e gratuito para projetos open-source. Com builds multi-arquitetura, publicacao automatica em registries e escaneamento de vulnerabilidades, voce garante que suas imagens Docker sao confiáveis e seguras para implantacao em producao.

GitHub Actions: Construir e Implantar Imagens Docker Automaticamente

GitHub Actions: Construir e Implantar Imagens Docker

Criando o Workflow de Build

Publicando em Multiplos Registries

Escaneamento de Vulnerabilidades

Otimizando o Dockerfile para CI/CD

Resumo

Frequently Asked Questions

GitHub Actions: Construir e Implantar Imagens Docker

Criando o Workflow de Build

Publicando em Multiplos Registries

Escaneamento de Vulnerabilidades

Otimizando o Dockerfile para CI/CD

Resumo

Frequently Asked Questions

Artigos Relacionados

Primeiros Passos com GitHub Actions: CI/CD para Todos os Projetos

ArgoCD GitOps para Implantações no Kubernetes

Guia de Configuração de Pipeline GitLab CI/CD