50) 构建完美Docker镜像

Stella981
• 阅读 576

##1- 镜像要求 需要一定程度的独立性、可控性以及安全性

##2- Docker镜像继承 一个Docker镜像也可以继承另外一个镜像,或者“扩展”,它就可以拥有这个镜像的所有功能。同时,它也可以替换或者覆盖这个基础镜像的功能。

优点

  • 复用性 – 给基础镜像添加功能对所有继承的镜像都可用
  • 扩展性 – 可以在维护继承功能的同时向镜像添加附加功能
  • 叠加性 – 基础镜像功能可以被替换
  • 结构一致性 – 基础镜像的文件系统布局跟所有继承它的的镜像布局一致
  • 成熟性 – 随着基础映像的发展,继承的映像也会随着发展。解决安全漏洞就是一个很好的例子

##3- 操作系统 Docker镜像的文件系统基于不同Linux系统的发行版。

小的镜像通常意味着相对比较少的文件,较少文件也会降低发生恶意行为的几率。

在一个镜像的底层,操作系统的层级往往从标准的Alpine Linux发行版扩展而来。在Docker社区已经赢得很好的口碑,它是非盈利,高效资源以及安全的。

案例:

FROM alpine:3.10.2
LABEL relenteny.repository.url=https://github.com/relenteny/alpine
LABEL relenteny.repository.tag=3.10.2
LABEL relenteny.alpine.version=3.10.2
RUN set -x && \
addgroup -g 1000 -S alpine && \
adduser -u 1000 -G alpine -h /home/alpine -D alpine && \
apk add –no-cache curl bind-tools
USER alpine
WORKDIR /home/alpine
ENTRYPOINT [“/bin/sh”, “-l”]
CMD []

案例说明:

  • 创建了一个用户alpine,并将其设置为实例化容器的运行用户。用户alpine不能作为特权用户运行。这是保护Docker镜像的一个重要方面。实例化容器将启动的目录被设置为alpine用户的主目录。
  • curl以及bind-tools都会被添加到基础镜像中。
  • 容器将简单地启动一个登录shell。这里不需要CMD[]指令,但是在Dockerfile中定义ENTRYPOINTCMD
  • LABLE提供信息,通过开发和部署过程跟踪镜像

##3- 最精简的基础镜像 选择体积最小的基础镜像可有效降低镜像体积。如:alpine、busybox等

##4- 清理镜像构建的中间产物 当dockerfile的指令执行完成后,删除镜像不需要用的的文件。如使用yum安装组件,最后可使用yum clean all镜像清理不需要的文件或者使用系统rm命令删除不需要的源文件等。

##5- 减少镜像的层数 镜像是一个分层存储的文件,并且镜像对层数也是有一定数量的限制,当前镜像的层数最高是127层,如果不多加注意,将会导致镜像越来越臃肿。在使用dockerfile构建镜像时,dockerfile中的每一条指令都会生成一个层,因此可以通过合并dockerfile中可合并的指令,减少最终生成镜像的层数。 **例如:**在dockerfile中使用RUN执行shell命令是,可以用"&&"将多条命令连接起来。

##6- 充分利用镜像构建缓存 利用构建的缓存来加快镜像构建速度,Docker构建默认会开启缓存,缓存生效有三个关键点,镜像父层没有发生变化,构建指令不变,添加文件校验和一致。只要一个构建指令满足这三个条件,这一层镜像构建就不会再执行,它会直接利用之前构建的结果。

某一层的镜像缓存失效之后,它之后的镜像层缓存都会失效。我们应该把变化最少的部分放在Dockerfile的前面,这样可以充分利用镜像缓存。dockerfile中有可能导致缓存失效的命令WORKDIR、CMD、ENV、ADD等,像这些命令最好放到dockerfile底部,以便在构建镜像过程中最大限度使用缓存。

##7- 删除构建目录中(默认:Dockerfile所在目录)不需要用的的文件 编写.dockerignore文件过滤构建过程中不必要的文件或者创建单独的目录,并且目录中仅存在镜像构建过程中需要使用的文件。 Docker 在运行时分为 Docker 引擎(也就是服务端守护进程)和客户端工具。Docker 的引擎提供了一组 REST API,被称为 Docker Remote API,而如 docker 命令这样的客户端工具,则是通过这组 API 与 Docker 引擎交互,从而完成各种功能。因此,虽然表面上我们好像是在本机执行各种 docker 功能,但实际上,一切都是使用的远程调用形式在服务端(Docker 引擎)完成。docker build 命令构建镜像,其实并非在本地构建,而是在服务端,也就是 Docker 引擎中构建的。

构建镜像时,Docker需要先准备context ,将所有需要的文件收集到进程中。默认的context包含Dockerfile目录中的所有文件。如果目录中的存在大量不相关的文件,不仅会导致构建缓慢,而且还会导致镜像体积增大。

.dockerignore示例如下: 在一个git项目中,我们并不需要.git目录等内容。可以在.dockerignore文件中加入以下内容: .git/

.dockerignore 的作用和语法类似于 .gitignore,可以忽略一些不需要的文件,这样可以有效加快镜像构建时间,同时减少Docker镜像的大小。

##8- 优化网络请求 使用一些镜像源或者在dockerfile中使用互联网上的url时,去用一些网络比较好的开源站点,这样可以节约时间、减少失败率

##9- dockerfile指令优化

  • ADD 和 COPY
    • 某些情况下,如果我们真的是希望复制个压缩文件进去,而不解压缩,这时就不可以使用 ADD 命令
    • 可能的使用 COPY
    • 仅在需要自动解压缩的场合使用 ADD。【ADD 指令会令镜像构建缓存失效,从而可能会令镜像构建变得比较缓慢】

##10- 启动命令

  • 设置启动命令时, 应该尽量使用 JSON 格式 CMD ["command", "arg1", "arg2"]
  • 需要把容器当做一个命令行工具使用时, 推荐通过 ENTRYPOINT 指令设置镜像的入口程序
  • 主程序之前还需要执行大量的前置操作时, 可以将 ENTRYPOINT 的入口指令设置为一个脚本 start.sh

##11- WORKDIR 尽量使用绝对路径 切换目录的时候尽量使用 WORKDIR, 而不是使用 RUN cd /data

##12- USER 如果容器中的应用程序运行时不需要特殊的权限, 可以通过 USER 指令把应用程序的所有者设置为非 root 用户。 在镜像中避免使用sudo 命令. 应为该命令使用的 TTY 不确定, 对接收信号量也会造成影响. 如果确实需要使用 sudo 功能, 则可是使用 gosu 命令替代 可以用 root 用户初始化一个 daemon, 然后用非 root 用户启动这个 daemon 为了减少镜像体积, 应该避免不必要的用户切换

##13- EXPOSE 在 bridge 模式下, 这些容器内部的端口会映射到宿主机的端口上, 建议在容器内部不要更改应用原生的端口号

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
3个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Dockerfile 说明
1.基本说明  Dockfile是一个用于编写docker镜像生成过程的文件,其有特定的语法。在一个文件夹中,如果有一个名字为Dockfile的文件,其内容满足语法要求,在这个文件夹路径下执行命令:dockerbuildtagname:tag.,就可以按照描述构建一个镜像了。name是镜像的名称,tag是镜像的版本或者是标签号,
Stella981 Stella981
3年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
Stella981 Stella981
3年前
Maven使用 国内镜像配置
Maven使用国内镜像配置  Maven  setting.xml中配置<repositories<repository<idnexus</id<namelocalprivatenexus</name
Wesley13 Wesley13
3年前
01_docker镜像命令
docker镜像命令1\.dockerimages参数:\a:列出本地所有的镜像\q:只显示镜像id\digests:显示镜像的摘要信息\notrunc:显示完整的镜像信息dockerimagesd
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
9个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这