當Dockerfile超出合理范圍時,會出現以下問題:
- 很難理解和維護-我們需要閱讀數百行以了解所有依賴關系
- 在這么多行之間可能忽略一個明顯的安全問題
- 當每個人都在更改同一文件時,Git將引發更多沖突
- 如果我們不清理每個依賴項,可能會導致鏡像體積沉重
最好的解決方案是將Dockerfile拆分為多個Dockerfile,以使我們的Dockerfile更小,更易于理解和維護。
這里是一些減少Dockerfile大小的技巧。
重構1:從其官方鏡像中獲取依賴
避免創建從官方鏡像復制的工件。例如:我需要使用terraform沒必要再重新apt-get安裝了,可以直接使用帶有terraform的官方鏡像。
原始Dockerfile
FROM golang:1.12
RUN apt-get update &&
apt-get upgrade -y &&
apt-get install -y git openssh-client zip
WORKDIR $GOPATH/src/github.com/hashicorp/terraform
RUN git clone https://github.com/hashicorp/terraform.git ./ &&
git checkout v0.12.9 &&
./scripts/build.sh
WORKDIR /my-config
COPY . /my-config/
CMD ["terraform init"]
重構后Dockerfile
FROM hashicorp/terraform:0.12.9 AS terraform
FROM golang:1.12
COPY --from=terraform /go/bin/terraform /usr/bin/terraform
WORKDIR /my-config
COPY . /my-config/
CMD ["terraform init"]
重構2:將依賴項提取到另一個Dockefile中
如果沒有正式鏡像,您可以從中提取工件,則應將其構建分離到另一個Dockefile中。然后將工件復制到原始Dockerfile中。
原始Dockerfile:
FROM golang:1.12
RUN apt-get update &&
apt-get upgrade -y &&
apt-get install -y git openssh-client
WORKDIR /go/src/gitlab.com/sahilm/
RUN git clone https://github.com/sahilm/yamldiff.git
RUN cd yamldiff &&
go get -u github.com/golang/dep/cmd/dep &&
dep ensure &&
GOOS=linux go build -o /usr/local/yamldiff
WORKDIR /my-App
COPY . /my-app/
CMD ["./run.sh"]
重構:用于yamldiff的Dockerfile。
FROM golang:1.12
RUN apt-get update &&
apt-get upgrade -y &&
apt-get install -y git openssh-client
WORKDIR /go/src/gitlab.com/sahilm/
RUN git clone https://github.com/sahilm/yamldiff.git
RUN cd yamldiff &&
go get -u github.com/golang/dep/cmd/dep &&
dep ensure &&
GOOS=linux go build -o /usr/local/yamldiff
CMD ["bash"]
重構:應用程序的Dockerfile。
FROM Marvalero/yamldiff:latest AS yamldiff
FROM golang:1.12
COPY --from=yamldiff /usr/bin/yamldiff /usr/bin/yamldiff
WORKDIR /my-app
COPY . /my-app/
CMD ["./run.sh"]
重構3:將鏡像分成多個階段
Docker具有多階段功能,當您的Dockerfile具有不同的部分時,它會派上用場。最常見的用例是進行構建,然后在主鏡像中復制工件。具有不同的階段可以使您的Dockerfile更加清晰和安全。
FROM golang:1.12
RUN apt-get update &&
apt-get upgrade -y &&
apt-get install -y git openssh-client
WORKDIR /go/src/gitlab.com/sahilm/
RUN git clone https://github.com/sahilm/yamldiff.git
RUN cd yamldiff &&
go get -u github.com/golang/dep/cmd/dep &&
dep ensure &&
GOOS=linux go build -o /usr/local/yamldiff
CMD ["bash"]
重構Dockerfile:
FROM golang:1.12 as Builder
RUN apt-get update &&
apt-get upgrade -y &&
apt-get install -y git openssh-client
WORKDIR /go/src/gitlab.com/sahilm/
RUN git clone https://github.com/sahilm/yamldiff.git
RUN cd yamldiff &&
go get -u github.com/golang/dep/cmd/dep &&
dep ensure &&
GOOS=linux go build -o /usr/local/yamldiff
FROM ubuntu:18.04
COPY --from=Builder /usr/local/yamldiff /usr/local/yamldiff
CMD ["bash"]
重構4:對多行參數進行排序
盡可能對多行參數進行排序。這有助于仔細檢查沒有重復的程序包。
FROM ubuntu:18.04
RUN apt-get -yqq install
ca-certificates
bash
jq
wget
curl
openssh-client
build-essential
libpng-dev
Python
zip
CDM ["bash"]
重構Dockerfile:
FROM ubuntu:18.04
RUN apt-get -yqq install
bash
build-essential
ca-certificates
curl
jq
libpng-dev
openssh-client
python
wget
zip
CDM ["bash"]
重構5:標簽
在使用Docker鏡像時,保持標簽整潔也至關重要。我總是覺得擁有三種類型的標簽非常有用:
- 分支名稱:標識特定分支的鏡像的最新版本
注意:為什么不使用latest?使用時latest,我永遠不知道它是表示整個存儲庫中的最新穩定版本還是最新版本。使用分支的名稱(如master,feature/new-class等)指向一個分支最新版本是方式更直觀。
- 版本:需要區分修補程序和重大更改。我建議使用語義版本控制(major.minor.patch)。
- 提交:我一直想知道標簽所指向的提交。現在,您可以通過在存儲庫中創建版本標記來執行此操作。但是,當這不可能時,只需使用其Commit SHA標記鏡像即可。
謝謝閱讀,希望您可以更輕松地維護Dockerfile。
