0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

4个超实用的Docker镜像构建技巧

dyquk4xk2p3d 来源:良许Linux 2023-02-13 11:24 次阅读

	

最近做了一个好玩的工具,叫xbin.io[1]。其中有一项工作是为不同的工具来构建 Docker 镜像,让他们都运行在 Docker 中(实际上,是兼容 Docker image 的其他 sandbox 系统,没有直接用 Docker)。支持的工具越来越多,为了节省资源,Build 的 Docker image 就越小越好,文件越少,其实启动速度也会略微快一些,也会更安全一些。

这篇文章来介绍一下做 Docker Image 的一些技巧。

在之前的博客Docker (容器) 的原理[2]中介绍过 Docker image 是如何工作的。简单来说,就是使用 Linuxoverlayfs[3], overlay file system 可以做到,将两个 file system merge 在一起,下层的文件系统只读,上层的文件系统可写。如果你读,找到上层就读上层的,否则的话就找到下层的给你读。然后写的话会写入到上层。这样,其实对于最终用户来说,可以认为只有一个 merge 之后的文件系统,用起来和普通文件系统没有什么区别。

有了这个功能,Docker 运行的时候,从最下层的文件系统开始,merge 两层,得到新的 fs 然后再 merge 上一层,然后再 merge 最上一层,最后得到最终的 directory,然后用chroot[4]改变进程的 root 目录,启动 container。

910be89c-ab48-11ed-bfe3-dac502259ad0.png

了解了原理之后,你会发现,这种设计对于 Docker 来说非常合适:

  1. 如果 2 个 image 都是基于 Ubuntu,那么两个 Image 可以共用 Ubuntu 的 base image,只需要存储一份;
  2. 如果 pull 新的 image,某一层如果已经存在,那么这一层之前的内容其实就不需要 pull 了;

后面 build image 的技巧其实都是基于这两点。

另外稍微提一下,Docker image其实就是一个 tar 包[5]。一般来说我们通过Dockerfiledocker built命令来构建,但是其实也可以用其他工具构建,只要构建出来的image 符合 Docker 的规范[6],就可以运行。比如,之前的博文Build 一个最小的 Redis Docker Image[7]就是用 Nix 构建出来的。

技巧1:删除缓存

一般的包管理器,比如apt,pip等,下载包的时候,都会下载缓存,下次安装同一个包的时候不必从网络上下载,直接使用缓存即可。

但是在 Docker Image 中,我们是不需要这些缓存的。所以我们在Dockerfile中下载东西一般会使用这种命令:

RUNdnfinstall-y--setopt=tsflags=nodocs
httpdvim&&
systemctlenablehttpd&&
dnfcleanall

在包安装好之后,去删除缓存。

一个常见的错误是,有人会这么写:

FROMfedora
RUNdnfinstall-ymariadb
RUNdnfinstall-ywordpress
RUNdnfcleanall

Dockerfile 里面的每一个RUN都会创建一层新的 layer,如上所说,这样其实是创建了 3 层 layer,前 2 层带来了缓存,第三层删除了缓存。如同 git 一样,你在一个新的 commit 里面删除了之前的文件,其实文件还是在 git 历史中的,最终的 docker image 其实没有减少。

但是 Docker 有了一个新的功能,docker build --squash。squash 功能会在 Docker 完成构建之后,将所有的 layers 压缩成一个 layer,也就是说,最终构建出来的 Docker image 只有一层。所以,如上在多个RUN中写 clean 命令,其实也可以。我不太喜欢这种方式,因为前文提到的,多个 image 共享 base image 以及加速 pull 的 feature 其实就用不到了。

一些常见的包管理器删除缓存的方法:

yum yum clean all
dnf dnf clean all
rvm rvm cleanup all
gem gem cleanup
cpan rm -rf ~/.cpan/{build,sources}/*
pip rm -rf ~/.cache/pip/*
apt-get apt-get clean

另外,上面这个命令其实还有一个缺点。因为我们在同一个RUN中写多行,不容易看出这个dnf到底安装了什么。而且,第一行和最后一行不一样,如果修改,diff 看到的会是两行内容,很不友好,容易出错。

可以写成这种形式,比较清晰。

RUNtrue
&&dnfinstall-y--setopt=tsflags=nodocs
httpdvim
&&systemctlenablehttpd
&&dnfcleanall
&&true

技巧2:改动不频繁的内容往前放

通过前文介绍过的原理,可以知道,对于一个 Docker image 有 ABCD 四层,B 修改了,那么 BCD 会改变。

根据这个原理,我们在构建的时候可以将系统依赖往前写,因为像apt,dnf这些安装的东西,是很少修改的。然后写应用的库依赖,比如pip install,最后 copy 应用。

比如下面这个 Dockerfile,就会在每次代码改变的时候都重新 Build 大部分 layers,即使只改了一个网页的标题。

FROMpython:3.7-buster

#copysource
RUNmkdir-p/opt/app
COPYmyapp/opt/app/myapp/
WORKDIR/opt/app

#installdependenciesnginx
RUNapt-getupdate&&apt-getinstallnginx
RUNpipinstall-rrequirements.txt
RUNchown-Rwww-data:www-data/opt/app

#startserver
EXPOSE8020
STOPSIGNALSIGTERM
CMD["/opt/app/start-server.sh"]

我们可以改成,先安装 Nginx,再单独 copyrequirements.txt,然后安装pip依赖,最后 copy 应用代码。

FROMpython:3.7-buster

#installdependenciesnginx
RUNapt-getupdate&&apt-getinstallnginx
COPYmyapp/requirements.txt/opt/app/myapp/requirements.txt
RUNpipinstall-rrequirements.txt

#copysource
RUNmkdir-p/opt/app
COPYmyapp/opt/app/myapp/
WORKDIR/opt/app

RUNchown-Rwww-data:www-data/opt/app

#startserver
EXPOSE8020
STOPSIGNALSIGTERM
CMD["/opt/app/start-server.sh"]

技巧3:构建和运行 Image 分离

我们在编译应用的时候需要很多构建工具,比如 gcc, golang 等。但是在运行的时候不需要。在构建完成之后,去删除那些构建工具是很麻烦的。

我们可以这样:使用一个 Docker 作为 builder,安装所有的构建依赖,进行构建,构建完成后,重新选择一个 Base image,然后将构建的产物复制到新的 base image,这样,最终的 image 只含有运行需要的东西。

比如,这是安装一个 golang 应用pup的代码:

FROMgolangasbuild
ENVCGO_ENABLED0
RUNgoinstallgithub.com/ericchiang/pup@latest

FROMalpine:3.15.4asrun
COPY--from=build/go/bin/pup/usr/local/bin/pup

我们使用golang这个 1G 多大的 image 来安装,安装完成之后将 binary 复制到 alpine, 最终的产物只有 10M 左右。这种方法特别适合一些静态编译的编程语言,比如 golang 和 rust.

技巧4:检查构建产物

这是最有用的一个技巧了。

dive 是一个 TUI,命令行的交互式 App,它可以让你看到 docker 每一层里面都有什么。

dive ubuntu:latest命令可以看到 ubuntu image 里面都有什么文件。内容会显示为两侧,左边显示每一层的信息,右边显示当前层(会包含之前的所有层)的文件内容,本层新添加的文件会用黄色来显示。通过tab键可以切换左右的操作。

9152c0c8-ab48-11ed-bfe3-dac502259ad0.png

一个非常有用的功能是,按下ctrl+U可以只显示当前层相比于前一层增加的内容,这样,就可以看到增加的文件是否是预期的了。

ctrl+Space可以折叠起来所有的目录,然后交互式地打开他们查看,就像是 Docker 中的ncdu

审核编辑 :李倩


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 进程
    +关注

    关注

    0

    文章

    201

    浏览量

    13947
  • 镜像
    +关注

    关注

    0

    文章

    162

    浏览量

    10697
  • Docker
    +关注

    关注

    0

    文章

    454

    浏览量

    11807

原文标题:4 个超实用的 Docker 镜像构建技巧

文章出处:【微信号:良许Linux,微信公众号:良许Linux】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    怎么构建docker镜像仓库软件

    Docker Registry】用docker registry 镜像搭建私有测试仓库
    发表于 08-13 11:03

    采用CentOS7的JDK Docker镜像构建

    基于CentOS7构建JDK Docker镜像
    发表于 04-02 11:25

    构建ARM64版本nacos docker镜像

    在适配过程中有大量合作伙伴用到nacos且采用容器化部署,dockerhub未提供官方镜像,因此需要在鲲鹏服务器自定义构建构建前提:Docker已部署
    发表于 06-16 14:29

    介绍一款非常方便的java领域docker镜像构建工具

    中上述内容配置了一结果镜像名称imageName,也就是最终构建成的docker镜像地址,包含容器仓库地址/
    发表于 07-19 17:41

    应用Docker完成构建微服务开发任务

    什么是Docker? 它的核心就是:Docker是一允许你创建镜像(这包含了很多步骤,就像在虚拟机的模板一样)并且让这个镜像的实例运行在容
    发表于 09-30 16:45 0次下载
    应用<b class='flag-5'>Docker</b>完成<b class='flag-5'>构建</b>一<b class='flag-5'>个</b>微服务开发任务

    Docker:微容器的优势与构建教程

    说到Docker,可能大家都不陌生了,我们可以用Docker技术将应用以及所有的依赖项打包到一镜像中,然后把这个镜像部署到容器中运行。这里
    发表于 10-10 11:32 0次下载

    浅析Docker镜像本地存储机制及容器启动原理

    Docker 镜像不是一单一的文件,而是有多层构成。我们可通过 docker images 获取本地的镜像列表及对应的元信息, 接着可通过
    发表于 10-19 14:17 2508次阅读

    Docker—简介与镜像用法

    阿里云官方镜像站: ​​https://developer.aliyun.com/mirror/?utm_content=g_1000303593​​ ​ 一、容器简介 Docker是管理容器的引擎
    发表于 11-25 16:28 506次阅读
    <b class='flag-5'>Docker</b>—简介与<b class='flag-5'>镜像</b>用法

    Docker镜像的详细讲解

    本文是对 Docker 镜像的详细讲解,讲解了如何安装 Docker、配置 Docker 镜像加速以及操作
    的头像 发表于 08-02 10:00 2139次阅读

    docker 搜索镜像,docker查看镜像详细信息(docker下载镜像命令)

    Docker Hub是集中管理的Docker镜像注册中心。通过Docker 用户可以在注册中心搜索、下载和使用CLI命令行工具中的镜像。以下
    的头像 发表于 07-19 09:46 1769次阅读

    Dockerfile定义Docker镜像构建过程

    了解Dockerfile Dockerfile 是一文本文件,用于定义 Docker 镜像构建过程。它以指令的形式描述了如何构建
    的头像 发表于 09-30 10:22 2504次阅读

    如何在Windows系统上设置Docker镜像

    在使用 Docker 进行镜像下载和构建时,由于众所周知的原因,国内用户可能会遇到下载速度慢或者无法连接的问题。为了解决这个问题,我们可以使用国内的镜像源来加速下载速度。本文将介绍如何
    的头像 发表于 10-24 16:55 5677次阅读

    构建docker镜像应该遵循哪些原则

    构建 Docker 镜像时,应遵循以下原则: 单一职责:每个镜像应只包含一应用或服务,避免将多个应用或服务放在同一
    的头像 发表于 11-23 09:41 982次阅读

    如何使用dockerfile创建镜像

    Docker是一开源的平台,用于快速构建、打包、部署应用程序的容器化工具。而Dockerfile是一文本文件,包含了一组可自动化构建
    的头像 发表于 11-23 09:52 703次阅读

    手动构建Docker镜像的方法

    不推荐使用docker commit命令,而应该使用更灵活、更强大的dockerfile来构建docker镜像
    的头像 发表于 08-05 15:30 447次阅读
    手动<b class='flag-5'>构建</b><b class='flag-5'>Docker</b><b class='flag-5'>镜像</b>的方法