Create Dockerfile

Dockerfile

@@ -0,0 +1,129 @@
+# ====================
+# 基礎映像檔設定
+# ====================
+# 使用輕量版 Python（固定具體版本避免意外更新）
+FROM python:3.12.7-slim
+
+# 安裝系統相依套件
+RUN apt-get update && apt-get install -y \
+    build-essential \
+    libglib2.0-0 \
+    libgl1-mesa-glx \
+    && rm -rf /var/lib/apt/lists/*
+
+# ====================
+# 環境變數設定
+# ====================
+# 設定 Python 環境變數以提升安全性和效能
+ENV PYTHONUNBUFFERED=1 \
+    PYTHONDONTWRITEBYTECODE=1 \
+    PIP_NO_CACHE_DIR=1 \
+    PIP_DISABLE_PIP_VERSION_CHECK=1
+# PYTHONUNBUFFERED=1: 確保 Python 輸出立即顯示
+# PYTHONDONTWRITEBYTECODE=1: 防止生成 .pyc 檔案，減少映像檔大小
+# PIP_NO_CACHE_DIR=1: 禁用 pip 快取，減少映像檔大小
+# PIP_DISABLE_PIP_VERSION_CHECK=1: 禁用 pip 版本檢查，加速安裝
+
+# ====================
+# 使用者和群組設定
+# ====================
+# 建立專用的應用程式使用者和群組（早期建立以確保安全）
+RUN groupadd -r appgroup && \
+    useradd -r -g appgroup -u 1001 -d /app -s /sbin/nologin appuser
+# -r: 建立系統使用者/群組
+# -u 1001: 指定 UID，避免與 host 使用者衝突
+# -d /app: 設定家目錄
+# -s /sbin/nologin: 禁止 shell 登入，增強安全性
+
+# ====================
+# 系統套件安裝
+# ====================
+# 安裝必要的系統相依套件並立即清理，減少映像檔大小和攻擊面
+RUN apt-get update && \
+    apt-get install -y --no-install-recommends \
+    build-essential \
+    libglib2.0-0 \
+    libgl1-mesa-glx && \
+    apt-get clean && \
+    rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/*
+# --no-install-recommends: 只安裝必要套件，不安裝建議套件
+# 立即清理 apt 快取和臨時檔案
+
+# ====================
+# 工作目錄和權限設定
+# ====================
+# 設定應用程式工作目錄
+WORKDIR /app
+
+# 建立必要目錄並設定適當權限（避免使用危險的 777 權限）
+# RUN mkdir -p /app/tmp /app/logs /app/data && \
+#     chown -R appuser:appgroup /app && \
+#     chmod 777 /app && \
+#     chmod 777 /app/tmp /app/logs /app/data
+# 755: 擁有者可讀寫執行，群組和其他人可讀執行
+# 750: 擁有者可讀寫執行，群組可讀執行，其他人無權限
+
+# ====================
+# Python 依賴安裝
+# ====================
+# 先複製 requirements.txt（利用 Docker 層快取優化）
+COPY --chown=appuser:appgroup requirements.txt .
+# --chown: 複製時直接設定擁有者，避免額外的 chown 指令
+
+# 升級 pip 並安裝 Python 套件
+RUN pip install --upgrade pip && \
+    pip install --no-cache-dir -r requirements.txt
+# --no-cache-dir: 不使用快取，減少映像檔大小
+
+# ====================
+# 應用程式代碼複製
+# ====================
+# 複製應用程式代碼並設定擁有者
+COPY --chown=appuser:appgroup . .
+
+# ====================
+# 清理和優化
+# ====================
+# 移除不必要的 Python 快取檔案，進一步減少映像檔大小
+RUN find /app -name "*.pyc" -delete && \
+    find /app -name "__pycache__" -type d -exec rm -rf {} + 2>/dev/null || true
+# 刪除所有 .pyc 檔案和 __pycache__ 目錄
+# 2>/dev/null || true: 忽略錯誤訊息
+
+# ====================
+# 使用者切換
+# ====================
+# 切換到非特權使用者執行應用程式（重要安全措施）
+USER appuser
+
+# ====================
+# 網路設定
+# ====================
+# 暴露應用程式端口
+EXPOSE 7860
+
+# ====================
+# 健康檢查
+# ====================
+# 設定容器健康檢查，確保應用程式正常運作
+HEALTHCHECK --interval=30s --timeout=10s --start-period=5s --retries=3 \
+    CMD curl -f http://localhost:7860/_stcore/health || exit 1
+# --interval: 檢查間隔
+# --timeout: 檢查超時時間
+# --start-period: 啟動寬限期
+# --retries: 重試次數
+
+# ====================
+# 應用程式啟動
+# ====================
+# 啟動 Streamlit 應用程式（啟用安全功能）
+CMD ["gradio", "app.py", \
+    # "--server.port=7860", \
+    # "--server.address=0.0.0.0", \
+    # "--server.enableXsrfProtection=false", \
+    # "--server.enableCORS=false", \
+    # "--server.headless=true"
+    ]
+# enableXsrfProtection=true: 啟用 CSRF 保護
+# enableCORS=false: 禁用跨域請求，增強安全性
+# headless=true: 無頭模式，適合容器環境