docs: update translations (#2230)

Translation updates for: docker.md .

---------

Signed-off-by: Marc <m@pyc.ac>
Signed-off-by: Alexandre Daubois <2144837+alexandre-daubois@users.noreply.github.com>
Co-authored-by: alexandre-daubois <2144837+alexandre-daubois@users.noreply.github.com>
Co-authored-by: Marc <m@pyc.ac>
Co-authored-by: Alexandre Daubois <alex.daubois@gmail.com>
Co-authored-by: Copilot <198982749+Copilot@users.noreply.github.com>
Co-authored-by: Copilot <175728472+Copilot@users.noreply.github.com>

Author: 5 people

docs/cn/docker.md

@@ -1,13 +1,15 @@
 # 构建自定义 Docker 镜像
 
-[FrankenPHP Docker 镜像](https://hub.docker.com/r/dunglas/frankenphp) 基于 [官方 PHP 镜像](https://hub.docker.com/_/php/)。提供适用于流行架构的 Debian 和 Alpine Linux 变体。推荐使用 Debian 变体。
+[FrankenPHP Docker 镜像](https://hub.docker.com/r/dunglas/frankenphp) 基于 [官方 PHP 镜像](https://hub.docker.com/_/php/)。
+提供适用于流行架构的 Debian 和 Alpine Linux 变体。
+推荐使用 Debian 变体。
 
 提供 PHP 8.2、8.3、8.4 和 8.5 的变体。
 
 标签遵循此模式：`dunglas/frankenphp:<frankenphp-version>-php<php-version>-<os>`
 
 - `<frankenphp-version>` 和 `<php-version>` 分别是 FrankenPHP 和 PHP 的版本号，范围从主版本（例如 `1`）、次版本（例如 `1.2`）到补丁版本（例如 `1.2.3`）。
-- `<os>` 要么是 `bookworm`（用于 Debian Bookworm）要么是 `alpine`（用于 Alpine 的最新稳定版本）。
+- `<os>` 要么是 `trixie`（用于 Debian Trixie），`bookworm`（用于 Debian Bookworm），要么是 `alpine`（用于 Alpine 的最新稳定版本）。
 
 [浏览标签](https://hub.docker.com/r/dunglas/frankenphp/tags)。
 
@@ -28,6 +30,10 @@ docker build -t my-php-app .
 docker run -it --rm --name my-running-app my-php-app
 ```
 
+## 如何调整配置
+
+为了方便，镜像中提供了一个包含有用环境变量的[默认 `Caddyfile`](https://github.com/php/frankenphp/blob/main/caddy/frankenphp/Caddyfile)。
+
 ## 如何安装更多 PHP 扩展
 
 [`docker-php-extension-installer`](https://github.com/mlocati/docker-php-extension-installer) 脚本在基础镜像中提供。
@@ -79,13 +85,11 @@ FROM dunglas/frankenphp AS runner
 COPY --from=builder /usr/local/bin/frankenphp /usr/local/bin/frankenphp
 ```
 
-FrankenPHP 提供的 `builder` 镜像包含 `libphp` 的编译版本。
-[用于构建的镜像](https://hub.docker.com/r/dunglas/frankenphp/tags?name=builder) 适用于所有版本的 FrankenPHP 和 PHP，包括 Alpine 和 Debian。
+FrankenPHP 提供的[构建器镜像](https://hub.docker.com/r/dunglas/frankenphp/tags?name=builder)适用于所有版本的 FrankenPHP 和 PHP，同时支持 Debian 和 Alpine。
 
 > [!TIP]
 >
-> 如果你的系统基于 musl libc（Alpine Linux 上默认使用）并搭配 Symfony 使用，
-> 你可能需要 [增加默认堆栈大小](compile.md#using-xcaddy)。
+> 如果你正在使用 Alpine Linux 和 Symfony，你可能需要[增加默认堆栈大小](compile.md#using-xcaddy)。
 
 ## 默认启用 worker 模式
 
@@ -99,17 +103,17 @@ FROM dunglas/frankenphp
 ENV FRANKENPHP_CONFIG="worker ./public/index.php"
 ```
 
-## 开发挂载宿主机目录
+## 在开发中使用卷
 
-要使用 FrankenPHP 轻松开发，请从包含应用程序源代码的主机挂载目录作为 Docker 容器中的 volume：
+要使用 FrankenPHP 轻松开发，请从包含应用程序源代码的主机挂载目录作为 Docker 容器中的卷：
 
 ```console
 docker run -v $PWD:/app/public -p 80:80 -p 443:443 -p 443:443/udp --tty my-php-app
 ```
 
 > [!TIP]
 >
-> `--tty` 选项允许使用清晰可读的日志，而不是 JSON 日志。
+> `--tty` 选项允许使用易读的日志，而不是 JSON 日志。
 
 使用 Docker Compose：
 
@@ -131,10 +135,10 @@ services:
       - ./:/app/public
       - caddy_data:/data
       - caddy_config:/config
-    # 在生产环境中注释以下行，它允许在 dev 中使用清晰可读日志
+    # 在生产环境中注释以下行，它允许在开发环境中使用易读日志
     tty: true
 
-# Caddy 证书和配置所需的挂载目录
+# Caddy 证书和配置所需的数据卷
 volumes:
   caddy_data:
   caddy_config:
@@ -152,35 +156,35 @@ FROM dunglas/frankenphp
 ARG USER=appuser
 
 RUN \
-	# 在基于 alpine 的发行版使用 "adduser -D ${USER}"
+	# 在基于 Alpine 的发行版使用 "adduser -D ${USER}"
 	useradd ${USER}; \
-	# 需要开放80和443端口的权限
+	# 添加绑定到 80 和 443 端口的额外能力
 	setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/frankenphp; \
-	# 需要 /config/caddy 和 /data/caddy 目录的写入权限
+	# 赋予 /config/caddy 和 /data/caddy 目录的写入权限
 	chown -R ${USER}:${USER} /config/caddy /data/caddy
 
 USER ${USER}
 ```
 
-### 无权限运行
+### 在不使用能力的情况下运行
 
-即使在无根运行时，FrankenPHP 也需要 `CAP_NET_BIND_SERVICE` 权限来将
+即使在无根运行时，FrankenPHP 也需要 `CAP_NET_BIND_SERVICE` 能力来将
 Web 服务器绑定到特权端口（80 和 443）。
 
 如果你在非特权端口（1024 及以上）上公开 FrankenPHP，则可以以非 root 用户身份运行
-Web 服务器，并且不需要任何权限：
+Web 服务器，并且不需要任何能力：
 
 ```dockerfile
 FROM dunglas/frankenphp
 
 ARG USER=appuser
 
 RUN \
-	# 在基于 alpine 的发行版使用 "adduser -D ${USER}"
+	# 在基于 Alpine 的发行版使用 "adduser -D ${USER}"
 	useradd ${USER}; \
-	# 移除默认权限
+	# 移除默认能力
 	setcap -r /usr/local/bin/frankenphp; \
-	# 给予 /config/caddy 和 /data/caddy 写入权限
+	# 赋予 /config/caddy 和 /data/caddy 目录的写入权限
 	chown -R ${USER}:${USER} /config/caddy /data/caddy
 
 USER ${USER}
@@ -191,14 +195,85 @@ USER ${USER}
 
 ## 更新
 
-Docker 镜像会按照以下条件更新：
+Docker 镜像会在以下情况下构建：
 
 - 发布新的版本后
-- 每日 4:00（UTC 时间）检查新的 PHP 镜像
+- 每日 UTC 时间上午 4 点，如果新的官方 PHP 镜像可用
+
+## 强化镜像
+
+为了进一步减少 FrankenPHP Docker 镜像的攻击面和大小，还可以基于 [Google distroless](https://github.com/GoogleContainerTools/distroless) 或 [Docker hardened](https://www.docker.com/products/hardened-images) 镜像构建它们。
+
+> [!WARNING]
+> 这些最小化的基础镜像不包含 shell 或包管理器，这使得调试更加困难。因此，仅在安全性优先级很高的情况下，才推荐将其用于生产环境。
+
+当添加额外的 PHP 扩展时，你需要一个中间构建阶段：
+
+```dockerfile
+FROM dunglas/frankenphp AS builder
+
+# 在此处添加额外的 PHP 扩展
+RUN install-php-extensions pdo_mysql pdo_pgsql #...
+
+# 将 frankenphp 和所有已安装扩展的共享库复制到临时位置
+# 你也可以通过分析 frankenphp 二进制文件和每个扩展 .so 文件的 ldd 输出手动执行此步骤
+RUN apt-get update && apt-get install -y libtree && \
+    EXT_DIR="$(php -r 'echo ini_get("extension_dir");')" && \
+    FRANKENPHP_BIN="$(which frankenphp)"; \
+    LIBS_TMP_DIR="/tmp/libs"; \
+    mkdir -p "$LIBS_TMP_DIR"; \
+    for target in "$FRANKENPHP_BIN" $(find "$EXT_DIR" -maxdepth 2 -type f -name "*.so"); do \
+        libtree -pv "$target" | sed 's/.*── \(.*\) \[.*/\1/' | grep -v "^$target" | while IFS= read -r lib; do \
+            [ -z "$lib" ] && continue; \
+            base=$(basename "$lib"); \
+            destfile="$LIBS_TMP_DIR/$base"; \
+            if [ ! -f "$destfile" ]; then \
+                cp "$lib" "$destfile"; \
+            fi; \
+        done; \
+    done
+
+
+# Distroless debian 基础镜像，确保它与基础镜像使用相同的 debian 版本
+FROM gcr.io/distroless/base-debian13
+# Docker hardened 镜像替代方案
+# FROM dhi.io/debian:13
+
+# 你的应用程序和 Caddyfile 要复制到容器中的位置
+ARG PATH_TO_APP="."
+ARG PATH_TO_CADDYFILE="./Caddyfile"
+
+# 将你的应用程序复制到 /app
+# 为了进一步强化，请确保只有可写路径由非 root 用户拥有
+COPY --chown=nonroot:nonroot "$PATH_TO_APP" /app
+COPY "$PATH_TO_CADDYFILE" /etc/caddy/Caddyfile
+
+# 复制 frankenphp 和必要的库
+COPY --from=builder /usr/local/bin/frankenphp /usr/local/bin/frankenphp
+COPY --from=builder /usr/local/lib/php/extensions /usr/local/lib/php/extensions
+COPY --from=builder /tmp/libs /usr/lib
+
+# 复制 php.ini 配置文件
+COPY --from=builder /usr/local/etc/php/conf.d /usr/local/etc/php/conf.d
+COPY --from=builder /usr/local/etc/php/php.ini-production /usr/local/etc/php/php.ini
+
+# Caddy 数据目录——即使在只读根文件系统上，也必须对非 root 用户可写
+ENV XDG_CONFIG_HOME=/config \
+    XDG_DATA_HOME=/data
+COPY --from=builder --chown=nonroot:nonroot /data/caddy /data/caddy
+COPY --from=builder --chown=nonroot:nonroot /config/caddy /config/caddy
+
+USER nonroot
+
+WORKDIR /app
+
+# 运行 frankenphp 并使用提供的 Caddyfile 的入口点
+ENTRYPOINT ["/usr/local/bin/frankenphp", "run", "-c", "/etc/caddy/Caddyfile"]
+```
 
 ## 开发版本
 
-可在此 [`dunglas/frankenphp-dev`](https://hub.docker.com/repository/docker/dunglas/frankenphp-dev) 仓库获取开发版本。
-每次在 GitHub 仓库的主分支有新的 commit 都会触发一次新的 build。
+开发版本可在 [`dunglas/frankenphp-dev`](https://hub.docker.com/repository/docker/dunglas/frankenphp-dev) Docker 仓库中获取。
+每次将新的提交推送到 GitHub 仓库的主分支时，都会触发一次新的构建。
 
-`latest*` tag 指向最新的 `main` 分支，且同样支持 `sha-<git-commit-hash>` 的 tag。
+`latest*` 标签指向 `main` 分支的 HEAD。形式为 `sha-<git-commit-hash>` 的标签也可用。

docs/fr/docker.md

@@ -4,10 +4,10 @@ Les images Docker de [FrankenPHP](https://hub.docker.com/r/dunglas/frankenphp) s
 
 Des variantes pour PHP 8.2, 8.3, 8.4 et 8.5 sont disponibles. [Parcourir les tags](https://hub.docker.com/r/dunglas/frankenphp/tags).
 
-Les tags suivent le pattern suivant: `dunglas/frankenphp:<frankenphp-version>-php<php-version>-<os>`
+Les tags suivent le pattern suivant : `dunglas/frankenphp:<frankenphp-version>-php<php-version>-<os>`
 
-- `<frankenphp-version>` et `<php-version>` sont repsectivement les numéros de version de FrankenPHP et PHP, allant de majeur (e.g. `1`), mineur (e.g. `1.2`) à des versions correctives (e.g. `1.2.3`).
-- `<os>` est soit `trixie` (pour Debian Trixie), `bookworm` (pour Debian Bookworm) ou `alpine` (pour la dernière version stable d'Alpine).
+- `<frankenphp-version>` et `<php-version>` sont respectivement les numéros de version de FrankenPHP et PHP, allant de majeur (e.g. `1`), mineur (e.g. `1.2`) à des versions correctives (e.g. `1.2.3`).
+- `<os>` est soit `trixie` (pour Debian Trixie), `bookworm` (pour Debian Bookworm), ou `alpine` (pour la dernière version stable d'Alpine).
 
 [Parcourir les tags](https://hub.docker.com/r/dunglas/frankenphp/tags).
 
@@ -28,10 +28,13 @@ docker build -t my-php-app .
 docker run -it --rm --name my-running-app my-php-app
 ```
 
+## Comment ajuster la configuration
+
+Pour une meilleure expérience initiale, un [`Caddyfile` par défaut](https://github.com/php/frankenphp/blob/main/caddy/frankenphp/Caddyfile) contenant des variables d'environnement communément utilisées est fourni dans l'image.
+
 ## Comment installer plus d'extensions PHP
 
-Le script [`docker-php-extension-installer`](https://github.com/mlocati/docker-php-extension-installer) est fourni dans l'image de base.
-Il est facile d'ajouter des extensions PHP supplémentaires :
+Le script [`docker-php-extension-installer`](https://github.com/mlocati/docker-php-extension-installer) est fourni dans l'image de base. L'ajout d'extensions PHP supplémentaires se fait de cette manière :
 
 ```dockerfile
 FROM dunglas/frankenphp
@@ -79,7 +82,7 @@ FROM dunglas/frankenphp AS runner
 COPY --from=builder /usr/local/bin/frankenphp /usr/local/bin/frankenphp
 ```
 
-L'image builder fournie par FrankenPHP contient une version compilée de `libphp`.
+L'image `builder` fournie par FrankenPHP contient une version compilée de `libphp`.
 [Les images builder](https://hub.docker.com/r/dunglas/frankenphp/tags?name=builder) sont fournies pour toutes les versions de FrankenPHP et PHP, à la fois pour Debian et Alpine.
 
 > [!TIP]
@@ -156,18 +159,17 @@ RUN \
 	useradd ${USER}; \
 	# Ajouter la capacité supplémentaire de se lier aux ports 80 et 443
 	setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/frankenphp; \
-	# Donner l'accès en écriture à /data/caddy et /config/caddy
-	chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy
+	# Donner l'accès en écriture à /config/caddy et /data/caddy
+	chown -R ${USER}:${USER} /config/caddy /data/caddy
 
 USER ${USER}
 ```
 
 ### Exécution sans capacité
 
-Même lorsqu'il s'exécute en tant qu'utilisateur autre que root, FrankenPHP a besoin de la capacité `CAP_NET_BIND_SERVICE`
-pour que son serveur utilise les ports privilégiés (80 et 443).
+Même lorsqu'il s'exécute en tant qu'utilisateur non-root, FrankenPHP a besoin de la capacité `CAP_NET_BIND_SERVICE` pour lier le serveur web sur les ports privilégiés (80 et 443).
 
-Si vous exposez FrankenPHP sur un port non privilégié (à partir de 1024), il est possible de faire fonctionner le serveur web avec un utilisateur qui n'est pas root, et sans avoir besoin d'aucune capacité.
+Si vous exposez FrankenPHP sur un port non privilégié (1024 et au-delà), il est possible d'exécuter le serveur web en tant qu'utilisateur non-root, et sans avoir besoin d'aucune capacité :
 
 ```dockerfile
 FROM dunglas/frankenphp
@@ -177,16 +179,16 @@ ARG USER=appuser
 RUN \
 	# Utiliser "adduser -D ${USER}" pour les distros basées sur Alpine
 	useradd ${USER}; \
-	# Supprimer la capacité par défaut \
+	# Supprimer la capacité par défaut
 	setcap -r /usr/local/bin/frankenphp; \
-	# Donner un accès en écriture à /data/caddy et /config/caddy \
-	chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy
+	# Donner un accès en écriture à /config/caddy et /data/caddy
+	chown -R ${USER}:${USER} /config/caddy /data/caddy
 
 USER ${USER}
 ```
 
 Ensuite, définissez la variable d'environnement `SERVER_NAME` pour utiliser un port non privilégié.
-Exemple `:8000`
+Exemple : `:8000`
 
 ## Mises à jour
 
@@ -195,9 +197,80 @@ Les images Docker sont construites :
 - lorsqu'une nouvelle version est taguée
 - tous les jours à 4h UTC, si de nouvelles versions des images officielles PHP sont disponibles
 
+## Durcir la sécurité des images
+
+Pour réduire davantage la surface d'attaque et la taille de vos images Docker FrankenPHP, il est également possible de les construire sur une image [Google distroless](https://github.com/GoogleContainerTools/distroless) ou [Docker hardened](https://www.docker.com/products/hardened-images).
+
+> [!WARNING]
+> Ces images de base minimales n'incluent pas de shell ou de gestionnaire de paquets, ce qui rend le débogage plus difficile. Elles sont donc recommandées uniquement pour la production si la sécurité est une priorité.
+
+Lors de l'ajout d'extensions PHP supplémentaires, vous aurez besoin d'une étape de build intermédiaire :
+
+```dockerfile
+FROM dunglas/frankenphp AS builder
+
+# Ajoutez ici des extensions PHP supplémentaires
+RUN install-php-extensions pdo_mysql pdo_pgsql #...
+
+# Copiez les bibliothèques partagées de frankenphp et toutes les extensions installées vers un emplacement temporaire
+# Vous pouvez également effectuer cette étape manuellement en analysant la sortie ldd du binaire frankenphp et de chaque fichier .so d'extension
+RUN apt-get update && apt-get install -y libtree && \
+    EXT_DIR="$(php -r 'echo ini_get("extension_dir");')" && \
+    FRANKENPHP_BIN="$(which frankenphp)"; \
+    LIBS_TMP_DIR="/tmp/libs"; \
+    mkdir -p "$LIBS_TMP_DIR"; \
+    for target in "$FRANKENPHP_BIN" $(find "$EXT_DIR" -maxdepth 2 -type f -name "*.so"); do \
+        libtree -pv "$target" | sed 's/.*── \(.*\) \[.*/\1/' | grep -v "^$target" | while IFS= read -r lib; do \
+            [ -z "$lib" ] && continue; \
+            base=$(basename "$lib"); \
+            destfile="$LIBS_TMP_DIR/$base"; \
+            if [ ! -f "$destfile" ]; then \
+                cp "$lib" "$destfile"; \
+            fi; \
+        done; \
+    done
+
+
+# Image de base Debian distroless, assurez-vous que c'est la même version de Debian que l'image de base
+FROM gcr.io/distroless/base-debian13
+# Alternative d'image Docker renforcée
+# FROM dhi.io/debian:13
+
+# Emplacement de votre application et du Caddyfile à copier dans le conteneur
+ARG PATH_TO_APP="."
+ARG PATH_TO_CADDYFILE="./Caddyfile"
+
+# Copiez votre application dans /app
+# Pour un durcissement supplémentaire, assurez-vous que seuls les chemins accessibles en écriture sont détenus par l'utilisateur non-root
+COPY --chown=nonroot:nonroot "$PATH_TO_APP" /app
+COPY "$PATH_TO_CADDYFILE" /etc/caddy/Caddyfile
+
+# Copiez frankenphp et les bibliothèques nécessaires
+COPY --from=builder /usr/local/bin/frankenphp /usr/local/bin/frankenphp
+COPY --from=builder /usr/local/lib/php/extensions /usr/local/lib/php/extensions
+COPY --from=builder /tmp/libs /usr/lib
+
+# Copiez les fichiers de configuration php.ini
+COPY --from=builder /usr/local/etc/php/conf.d /usr/local/etc/php/conf.d
+COPY --from=builder /usr/local/etc/php/php.ini-production /usr/local/etc/php/php.ini
+
+# Répertoires de données Caddy — doivent être accessibles en écriture pour l'utilisateur non-root, même sur un système de fichiers racine en lecture seule
+ENV XDG_CONFIG_HOME=/config \
+    XDG_DATA_HOME=/data
+COPY --from=builder --chown=nonroot:nonroot /data/caddy /data/caddy
+COPY --from=builder --chown=nonroot:nonroot /config/caddy /config/caddy
+
+USER nonroot
+
+WORKDIR /app
+
+# Point d'entrée pour exécuter frankenphp avec le Caddyfile fourni
+ENTRYPOINT ["/usr/local/bin/frankenphp", "run", "-c", "/etc/caddy/Caddyfile"]
+```
+
 ## Versions de développement
 
 Les versions de développement sont disponibles dans le dépôt Docker [`dunglas/frankenphp-dev`](https://hub.docker.com/repository/docker/dunglas/frankenphp-dev). Un nouveau build est déclenché chaque fois qu'un commit est poussé sur la branche principale du dépôt GitHub.
 
 Les tags `latest*` pointent vers la tête de la branche `main`.
-Les tags sous la forme `sha-<hash-du-commit-git>` sont également disponibles.
+Les tags sous la forme `sha-<git-commit-hash>` sont également disponibles.