NHT
← Quay lại trang bài viết

Docker hóa Ứng dụng NestJS cho Môi trường Production

Hướng dẫn chi tiết cách Docker hóa ứng dụng NestJS hướng production với multi-stage build, cấu hình môi trường, health check, CI/CD và quy trình triển khai.

Nguyen Hoang TuanNguyen Hoang Tuan24 thg 5, 20268 phút đọc

Một Dockerfile chạy tốt ở môi trường local không đồng nghĩa với việc nó đã sẵn sàng cho production. Các container chạy trên môi trường production yêu cầu dung lượng image tối ưu, quá trình build nhất quán (deterministic), cấu hình bảo mật mặc định, quản lý biến môi trường rõ ràng và các cơ chế health check đáng tin cậy cho hệ thống điều phối.

Hướng dẫn này tập trung vào quy trình triển khai thực tế cho ứng dụng NestJS.

Sử dụng Dockerfile multi-stage

Multi-stage build giúp loại bỏ hoàn toàn các công cụ phát triển (development tooling) khỏi production image cuối cùng. Stage depsbuilder chịu trách nhiệm cài đặt thư viện và biên dịch ứng dụng. Stage runner chỉ chứa những tài nguyên tối thiểu cần thiết để ứng dụng khởi chạy.

FROM node:22-alpine AS deps
WORKDIR /app
COPY package*.json ./
RUN npm ci

FROM node:22-alpine AS builder
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
RUN npm run build

FROM node:22-alpine AS runner
WORKDIR /app
ENV NODE_ENV=production
COPY package*.json ./
RUN npm ci --omit=dev
COPY --from=builder /app/dist ./dist
CMD ["node", "dist/main.js"]

Hãy giữ cho production image gọn gàng nhất có thể. Nhiệm vụ duy nhất của nó là khởi chạy server đã được biên dịch.

Tách biệt cấu hình khỏi Docker image

Tuyệt đối không đóng gói cứng (bake) các thông tin nhạy cảm (secrets) hoặc các URL đặc thù của môi trường vào image. Cùng một Docker image phải chạy được ở cả môi trường staging lẫn production bằng cách truyền các biến môi trường khác nhau.

Với NestJS, hãy xác thực cấu hình ngay khi ứng dụng khởi chạy (fail-fast) để phát hiện sớm các biến môi trường bị thiếu:

ConfigModule.forRoot({
  isGlobal: true,
  validationSchema: Joi.object({
    DATABASE_URL: Joi.string().required(),
    REDIS_URL: Joi.string().optional(),
    PORT: Joi.number().default(3000),
  }),
});

Điều này giúp phát hiện lỗi cấu hình ngay lập tức khi deploy, thay vì để ứng dụng chạy và gặp các lỗi runtime không rõ nguyên nhân sau đó.

Thêm health check trước khi điều phối (orchestration)

Các nền tảng đám mây như Kubernetes, ECS, Fly.io, hay Render đều dựa vào các tín hiệu health check để quản lý vòng đời container. Một ứng dụng NestJS tốt cần expose ít nhất một endpoint kiểm tra trạng thái hoạt động nhẹ nhàng.

@Controller("health")
export class HealthController {
  @Get()
  check() {
    return { status: "ok" };
  }
}

Đối với môi trường production, hãy bổ sung các kiểm tra kết nối tới các dịch vụ quan trọng đi kèm như database hoặc message queue. Lưu ý giữ cho các liveness check thật gọn nhẹ để tránh việc nền tảng tự động khởi động lại container khi các dịch vụ đi kèm phản hồi chậm tạm thời.

Chạy container với user non-root

Mặc định, các container không nên chạy dưới quyền root vì lý do bảo mật. Các Docker image Node phiên bản Alpine đã tích hợp sẵn một user có tên node phù hợp cho hầu hết các ứng dụng.

USER node

Nếu ứng dụng của bạn cần ghi file vào một số thư mục nhất định, hãy tạo các thư mục đó và cấp quyền sở hữu cho user node ngay trong quá trình build image. Tránh sử dụng các quyền quá rộng như chmod 777.

Build một lần, sử dụng cho mọi môi trường

Quy trình CI/CD an toàn nhất là chỉ build Docker image đúng một lần, gắn thẻ (tag) bằng commit SHA, quét bảo mật (scanning), và sử dụng chính xác image đó để chuyển tiếp qua các môi trường (dev -> staging -> production).

Tránh việc build lại image riêng biệt cho staging và production. Việc build lại nhiều lần có thể tạo ra các sai khác nhỏ về phiên bản thư viện phụ thuộc (dependencies), kết quả biên dịch hoặc phiên bản hệ điều hành nền. Việc tái sử dụng một image duy nhất giúp quá trình rollback trở nên cực kỳ đơn giản và an toàn vì mọi phiên bản triển khai đều trỏ tới một artifact bất biến duy nhất.

Checklist sẵn sàng triển khai

Trước khi deploy container NestJS lên production, hãy chắc chắn rằng:

  • Lệnh npm ci được sử dụng để cài đặt các package nhất quán.
  • Production image cuối cùng đã loại bỏ hoàn toàn các devDependencies.
  • Các thông tin bảo mật (secrets) được truyền qua biến môi trường lúc runtime.
  • Ứng dụng xác thực cấu hình đầu vào ngay khi khởi chạy.
  • Các endpoint health check đã được cấu hình và kết nối với nền tảng điều phối.
  • Log được xuất ra standard output (stdout) và standard error (stderr).
  • Container được chạy dưới quyền user non-root (node).
  • Hệ thống CI gắn tag cho image bằng commit SHA của git.

Việc tối ưu container sẽ dễ dàng hơn rất nhiều khi kiến trúc ứng dụng của bạn rõ ràng. Hãy bắt đầu bằng cách tham khảo bài viết Kiến trúc Modular trong NestJS: Xây dựng API Production Quy Mô Lớn, và đảm bảo các trang giao diện công khai được tối ưu hóa tìm kiếm với Checklist SEO cho Next.js App Router.

Hệ thống của bạn đang gặp vấn đề hiệu năng hay mở rộng tải?

Tôi chuyên xây dựng hạ tầng bản đồ độ trễ thấp, streaming pipeline thời gian thực (Kafka, ClickHouse) và các hệ thống backend tối ưu. Hãy cùng hợp tác để nâng cấp sản phẩm của bạn.

Hợp tác ngay

Tác giả

Nguyen Hoang Tuan

Nguyen Hoang Tuan

Full-stack developer focused on practical backend architecture, web performance, and production delivery.

GitHubLinkedInWebsite

Bài viết liên quan