编写 dockerfile 最佳实践

docker 官方文档推荐使用Dockerfile构建镜像的最佳实践。

创建短生命周期容器

基于Dockerfile生成镜像,使用这个镜像生成的容器,我们要尽可能的缩短容器的生命周期。这里我的理解是,不要将容器当做vm 来使用, 这个容器可以被停止或者销毁, 然后可以根据设置和配置的变动重新生成新的容器。

理解构建上下文

当你触发docker build 命令时,当前目录就被称为构建上下文(build context)。默认情况下 Dockerfile文件就在这个目录下, 但是可以通过 -f 参数来指定Dockerfile的位置。不管Dockerfile在哪里,当前目录中的所有文件和目录都会作为构建上下文发送到 docker daemon 进程。

构建上下文示例

创建一个目录并且使用cd进入该目录。在hello文件中写"hello",同时创建 Dockerfile文件并且cat hello文件。在当前上下文(.)中构建镜像:

mkdir myproject && cd myproject
echo "hello" > hello
echo -e "FROM busybox\nCOPY /hello /\nRUN cat /hello" > Dockerfile
docker build -t helloapp:v1 .

Dockerfilehello 文件移动到另一个目录中。并且再构建一个镜像(不使用上个镜像构建缓存)。使用-f来指定 Dockerfile 并且明确上下文目录:

mkdir -p dockerfiles context
mv Dockerfile dockerfiles && mv hello context
docker build --no-cache -t helloapp:v2 -f dockerfiles/Dockerfile context

在构建过程中导入了不必要的文件将会导致更大的构建上下文,从而会构建出更大的镜像。这会增加构建镜像的时间,拉取和上传镜像的时间以及容器的大小。当你使用Dockerfile构建镜像时,可通过如下信息查看你的构建上下文的大小:

Sending build context to Docker daemon  187.8MB

使用.dockerignore 排除不需要加入镜像的文件

有的时候我们会需要排除一些与我们构建镜像不相关的文件,这时候我们可以通过编写.dockerignore在不改变代码结构的情况下达到这一目的。这个文件的实现方式与.gitignore很像,关于如何创建一个.dockerignore,可以参考.dockerignore file

使用多阶段构建

multi-stage builds 技术可以大幅度减少最终镜像的大小,而不是想办法去减少构建过程中的层级数和文件。

因为镜像是在构建过程最后阶段生成的,因此我们可以通过leveraging build cache来最小化镜像层。

举个例子来说,如果构建一个镜像,这个镜像有很多层,可以按照镜像层的修改频率来排序(就是将不经常更新的层作为最底层,这样可以复用构建缓存):

  • 安装工具
  • 安装或者更新依赖
  • 生成你的应用

一个 Go 应用的 Dockerfile示例:

FROM golang:1.11-alpine AS build

# Install tools required for project
# Run `docker build --no-cache .` to update dependencies
RUN apk add --no-cache git
RUN go get github.com/golang/dep/cmd/dep

# List project dependencies with Gopkg.toml and Gopkg.lock
# These layers are only re-built when Gopkg files are updated
COPY Gopkg.lock Gopkg.toml /go/src/project/
WORKDIR /go/src/project/
# Install library dependencies
RUN dep ensure -vendor-only

# Copy the entire project and build it
# This layer is rebuilt when a file changes in the project directory
COPY . /go/src/project/
RUN go build -o /bin/project

# This results in a single layer image
FROM scratch
COPY --from=build /bin/project /bin/project
ENTRYPOINT ["/bin/project"]
CMD ["--help"]

不安装不需要的包

为了减小镜像的复杂度和大小, 我们应当避免安装一些我们不需要的 packages。举个例子来说,你不需要在数据库镜像中安装文本编辑器

应用解耦

每个容器应当只含有一个应用实例, 将多个应用解耦至多个容器可以很方便的对应用进行水平扩展,并且可以复用容器。举个例子来说,一个 web 应用应当包含三个容器(web容器, 数据库容器, 缓存容器),每一个容器对应一个镜像。

每个容器中限制只能有一个进程是一个很好的经验法则, 但这也不是一个硬性的规定。容器中的进程不仅可以由 init 创建, 一些程序可能会额外的生成一些他们自己的进程。比如, Celery会生成多个 worker 进程, Apache 对每一个请求创建一个进程。

每种场景不一样,规则也不一样。但是应该尽可能的保证我们的容器功能明确和模块化。如果容器之间相互依赖(容器之间可能需要通信), 你可以使用Docker container networks 确保容器间通信

减小镜像层数

减少镜像层数对于镜像构建非常重要。在更老的版本的 docker 中需要特别注意,现在通过下面的这些特性我们可以方便的对镜像层数进行限制:

  • 只有 ONLY, COPY,ADD这三个命令增加层数,其他的命令只会创建一些临时的镜像,并不会增加构建的镜像的层数
  • 使用 multi-stage builds只拷贝真正需要的artifaces(制品) 到最终的镜像。这可以使你在构建过程中使用工具和打印调试信息,但不会增加最终的镜像大小。

对多行参数排序

只要有可能, 将参数按照字母进行排序是一种非常好的实践,这种方式可以避免重复安装包(特指apt-get命令),也可以是开发人员更加容易的阅读和审查。
下面是 buildpack-deps镜像的例子 images:

RUN apt-get update && apt-get install -y \
  bzr \
  cvs \
  git \
  mercurial \
  subversion

借助构建缓存

在构建镜像的时候,docker 会按照dockerfile中的指令顺序来一次执行。每一个指令被执行的时候 docker 都会去缓存中检查是否有已经存在的镜像可以复用,而不是去创建一个新的镜像复制。

如果不想使用构建缓存,可以使用docker build参数选项--no-cache=true来禁用构建缓存。在使用镜像缓存时,要弄清楚缓存合适生效,何时失效。构建缓存最基本规则如下:

  • 如果引用的父镜像在构建缓存中,下一个命令将会和所有从该父进程派生的子镜像做比较,如果有子镜像使用相同的命令,那么缓存命中,否则缓存失效。
  • 在大部分情况下,通过比较Dockerfile中的指令和子镜像已经足够了。但是有些指令需要进一步的检查。
  • 对于ADDCOPY指令, 文件的内容会被检查,并且会计算每一个文件的校验码。但是文件最近一次的修改和访问时间不在校验码的考虑范围内。在构建过程中,docker 会比对已经存在的镜像,只要有文件内容和元数据发生变动,那么缓存就会失效。
  • 除了ADDCOPY指令,镜像缓存不会检查容器中文件来判断是否命中缓存。例如,在处理RUN apt-get -y update命令时,不会检查容器中的更新文件以确定是否命中缓存,这种情况下只会检查命令字符串是否相同。

下一篇将会记录下如何从标准输入流读取Dockerfile,以及如何使用golang构建 docker 镜像。

参考

Best practices for writing Dockerfiles

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,098评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,213评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,960评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,519评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,512评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,533评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,914评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,804评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,563评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,644评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,350评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,933评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,908评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,146评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,847评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,361评论 2 342

推荐阅读更多精彩内容