構(gòu)建緩存
在鏡像的構(gòu)建過程中,Docker會(huì)根據(jù)Dockerfile指定的順序執(zhí)行每個(gè)指令。Dockerfile的每條指令都會(huì)將結(jié)果提交為新的鏡像。然后,下一條指令基于上一條指令的鏡像進(jìn)行構(gòu)建。
在執(zhí)行每條指令之前,Docker都會(huì)在緩存中查找是否已經(jīng)存在可重用的鏡像,如果存在就使用現(xiàn)存的鏡像,不再重復(fù)創(chuàng)建。
因此,為了有效地利用緩存,盡量保持Dockerfile一致,并且盡量在末尾修改:
FROM ubuntu
MAINTAINER author <somebody@company.com>
RUN echo "deb http://archive.ubuntu.com/ubuntu precise main universe"
RUN apt-get update
RUN apt-get upgrade -y
更改MAINTAINER指令會(huì)使Docker強(qiáng)制執(zhí)行run指令來更新apt,而不是使用緩存。
如不希望使用緩存,在執(zhí)行 docker build 時(shí)需加上參數(shù)--no-cache=true。
Docker中,構(gòu)建緩存遵循的基本規(guī)則如下:
- 從緩存中存在的基礎(chǔ)鏡像(FROM指令指定)開始,下一條指令將和該基礎(chǔ)鏡像的所有子鏡像進(jìn)行匹配,檢查這些子鏡像被創(chuàng)建時(shí)使用的指令是否和被檢查的指令完全一樣。如果不是,則緩存失效。
- 多數(shù)情況中,使用其中一個(gè)子鏡像來比較Dockerfile中的指令是足夠的。然而,特定的指令需要做更多的判斷。
- 對(duì)于ADD和COPY指令,鏡像中對(duì)應(yīng)文件的內(nèi)容也會(huì)被檢查,每個(gè)文件都會(huì)計(jì)算出一個(gè)校驗(yàn)值,通常是檢查文件的校驗(yàn)和(checksum)。在緩存的查找過程中,會(huì)將這些校驗(yàn)和已存在鏡像中的文件校驗(yàn)值進(jìn)行對(duì)比。如果文件有任何改變,則緩存失效。
- 除了ADD和COPY指令,緩存匹配檢查并不檢查臨時(shí)容器中的文件。例如,當(dāng)使用RUN apt-get -y update命令更新了容器中的文件,并不會(huì)被緩存檢查策略作為緩存匹配的依據(jù)。
- 一旦緩存失效,所有后續(xù)的Dockerfile指令都將產(chǎn)生新的鏡像,緩存不會(huì)被使用。
使用多階段構(gòu)建
多階段構(gòu)建可以大幅度減小最終的鏡像大小,而不需要去想辦法減少中間層和文件的數(shù)量。因?yàn)殓R像是在生成過程的最后階段生成的,所以可以利用生成緩存來最小化鏡像層。
例如,如果構(gòu)建包含多個(gè)層,則可以將它們從變化頻率較低(以確保生成緩存可重用)到變化頻率較高的順序排序:
- 安裝構(gòu)建應(yīng)用程序所需的依賴工具
- 安裝或更新依賴項(xiàng)
- 構(gòu)建你的應(yīng)用
比如構(gòu)建一個(gè)Go應(yīng)用程序的Dockerfile可能類似于這樣:
FROM golang:1.11-alpine AS build
# 安裝項(xiàng)目需要的工具
# 運(yùn)行 `docker build --no-cache .` 來更新依賴
RUN apk add --no-cache git
RUN go get Github.com/golang/dep/cmd/dep
# 通過 Gopkg.toml 和 Gopkg.lock 獲取項(xiàng)目的依賴
# 僅在更新 Gopkg 文件時(shí)才重新構(gòu)建這些層
COPY Gopkg.lock Gopkg.toml /go/src/project/
WORKDIR /go/src/project/
# 安裝依賴庫
RUN dep ensure -vendor-only
# 拷貝整個(gè)項(xiàng)目進(jìn)行構(gòu)建
# 當(dāng)項(xiàng)目下面有文件變化的時(shí)候該層才會(huì)重新構(gòu)建
COPY . /go/src/project/
RUN go build -o /bin/project
# 將打包后的二進(jìn)制文件拷貝到 scratch 鏡像下面,將鏡像大小降到最低
FROM scratch
COPY --from=build /bin/project /bin/project
ENTRYPOINT ["/bin/project"]
CMD ["--help"]
使用標(biāo)簽
除非是在用Docker做實(shí)驗(yàn),否則你應(yīng)當(dāng)通過 -t 選項(xiàng)來 docker build 新的鏡像以便于標(biāo)記構(gòu)建的鏡像。一個(gè)簡單可讀的標(biāo)簽可以幫助管理每個(gè)創(chuàng)建的鏡像。
docker build -t="tuxknight/luckyPython/ target=_blank class=infotextkey>Python"
始終通過 -t 標(biāo)記來構(gòu)建鏡像。
公開端口
Docker的核心概念是可重復(fù)和可移植,鏡像應(yīng)該可以運(yùn)行在任何主機(jī)上并運(yùn)行盡可能多的次數(shù)。在Dockerfile中可以映射私有和公有端口,但永遠(yuǎn)不要通過Dockerfile映射公有端口。這樣運(yùn)行多個(gè)鏡像的情況下會(huì)出現(xiàn)端口沖突的問題。
EXPOSE 80:8080 # 80映射到host的8080,不提倡這種用法
EXPOSE 80 # 80會(huì)被docker隨機(jī)映射一個(gè)端口
EXPOSE指令用于聲明容器將監(jiān)聽的端口。在EXPOSE指令中,端口號(hào)的格式為<容器端口>/<協(xié)議>。其中,容器端口是指在容器內(nèi)部應(yīng)用程序監(jiān)聽的端口,而協(xié)議是可選的,默認(rèn)為TCP。
示例中,EXPOSE 80:8080表示容器將監(jiān)聽容器端口80,而宿主機(jī)可以使用端口8080來訪問容器的80端口。也就是,容器的80端口映射到了宿主機(jī)的8080端口。
請(qǐng)注意,EXPOSE指令僅僅是聲明容器將監(jiān)聽的端口,并不會(huì)自動(dòng)進(jìn)行端口映射。要實(shí)際進(jìn)行端口映射,需要在運(yùn)行容器時(shí)使用-p或-P選項(xiàng)。
CMD ENTRYPOINT語法
CMD和ENTRYPOINT支持兩種語法:
CMD /bin/echo
CMD ["/bin/echo"]
在第一種方式下,Docker會(huì)在命令前加上 /bin/sh -c,可能會(huì)導(dǎo)致一些意想不到的問題。在第二種方式下,CMD ENTRYPOINT是一個(gè)數(shù)組,執(zhí)行的命令完全和期待的一樣。
容器是短暫的
容器模型是進(jìn)程而不是機(jī)器,不需要開機(jī)初始化。在需要時(shí)運(yùn)行,不需要時(shí)停止,能夠刪除后重建,并且配置和啟動(dòng)的最小化。
.dockerignore 文件
在docker build的時(shí)候,對(duì)于一些不需要提交構(gòu)建的文件用.dockerignore來進(jìn)行忽略。忽略部分無用的文件和目錄可以提高構(gòu)建的速度。
不要在構(gòu)建中升級(jí)版本
不在容器中更新,更新交給基礎(chǔ)鏡像來處理。
應(yīng)用解耦
每個(gè)容器只運(yùn)行一個(gè)進(jìn)程,每個(gè)容器應(yīng)用只關(guān)心一個(gè)方面的事情。將多個(gè)應(yīng)用解耦到不同容器中,容器起到了隔離應(yīng)用隔離數(shù)據(jù)的作用,可以更輕松地保證容器的橫向擴(kuò)展和復(fù)用。
例如一個(gè)Web應(yīng)用程序可能包含三個(gè)獨(dú)立的容器:Web應(yīng)用、數(shù)據(jù)庫、緩存,每個(gè)容器都是獨(dú)立的鏡像,分開運(yùn)行。但這并不是說一個(gè)容器就只能跑一個(gè)進(jìn)程,因?yàn)橛械某绦蚩赡軙?huì)自行產(chǎn)生其他進(jìn)程,比如Celery就可以有很多個(gè)工作進(jìn)程。
雖然每個(gè)容器跑一個(gè)進(jìn)程是一條很好的法則,但這并不是一條硬性的規(guī)定。主要是希望一個(gè)容器只關(guān)注一件事情,盡量保持干凈和模塊化。如果容器互相依賴,你可以使用 Docker 容器網(wǎng)絡(luò) 來把這些容器連接起來。
最小化鏡像層數(shù)
在很早之前的版本中盡量減少鏡像層數(shù)是非常重要的,不過現(xiàn)在的版本已經(jīng)有了一定的改善了:
- 只有RUN、COPY和ADD指令會(huì)創(chuàng)建層,其他指令會(huì)創(chuàng)建臨時(shí)的中間鏡像,但是不會(huì)直接增加構(gòu)建的鏡像大小了。
- 多階段構(gòu)建的支持,允許我們把需要的數(shù)據(jù)直接復(fù)制到最終的鏡像中,這就允許在中間階段包含一些工具或者調(diào)試信息了,而且不會(huì)增加最終的鏡像大小。
需要掌握好Dockerfile的可讀性和文件系統(tǒng)層數(shù)之間的平衡。控制文件系統(tǒng)層數(shù)時(shí)會(huì)降低Dockerfile的可讀性。而Dockerfile可讀性高時(shí),往往會(huì)導(dǎo)致更多的文件系統(tǒng)層數(shù)。
避免安裝不必要的包
為了降低復(fù)雜性、減少依賴、減小文件大小和構(gòu)建時(shí)間,應(yīng)該避免安裝額外的或者不必要的軟件包。例如,不要在數(shù)據(jù)庫鏡像中包含一個(gè)文本編輯器。
使用特定標(biāo)簽
Dockerfile中FROM應(yīng)始終包含依賴的基礎(chǔ)鏡像的完整倉庫名和標(biāo)簽,如使用FROM debian:jessie而不是FROM debian。
多行參數(shù)排序
只要有可能,就將多行參數(shù)按字母順序排序。這可以避免重復(fù)包含同一個(gè)包,更新包列表時(shí)也更容易,也更容易閱讀和審查。建議在反斜杠符號(hào) 之前添加一個(gè)空格,可以增加可讀性。
RUN apt-get update && apt-get install -y
bzr
cvs
git
mercurial
subversion
Dockerfile指令最佳實(shí)踐
關(guān)于這些指令的使用建議可以幫助我們創(chuàng)建高效且可維護(hù)的Dockerfile。以下內(nèi)容為Dockerfile指令部分的最佳實(shí)踐。
FROM
盡可能使用當(dāng)前的官方鏡像作為基礎(chǔ)鏡像。推薦使用Debian鏡像,大小保持在100MB上下,且仍是完整的發(fā)行版。
另外,根據(jù)情況也可考慮使用Alpine映像,因?yàn)樗艿絿?yán)格控制且較小(當(dāng)前小于5MB),同時(shí)仍是完整的linux發(fā)行版。
LABEL標(biāo)簽
可以給鏡像添加標(biāo)簽來幫助組織鏡像、記錄許可信息、輔助自動(dòng)化構(gòu)建等。每個(gè)標(biāo)簽一行,由LABEL開頭加上一個(gè)或多個(gè)標(biāo)簽對(duì)。
下面的示例展示了各種不同的可能格式。#開頭的行是注釋內(nèi)容。
# Set one or more individual labels
LABEL com.example.version="0.0.1-beta"
LABEL vendor="ACME Incorporated"
LABEL com.example.release-date="2015-02-12"
LABEL com.example.version.is-production=""
一個(gè)鏡像可以包含多個(gè)標(biāo)簽,當(dāng)然以上內(nèi)容也可以寫成下面這樣,但是不是必須的:
# Set multiple labels at once, using line-continuation characters to break long lines
LABEL vendor=ACME Incorporated
com.example.is-production=""
com.example.version="0.0.1-beta"
com.example.release-date="2015-02-12"
PS:如果字符串包含空格,那么它必須被引用或者空格必須被轉(zhuǎn)義。如果字符串包含內(nèi)部引號(hào)字符("),則也可以將其轉(zhuǎn)義。
RUN
為了保持Dockerfile文件的可讀性以及可維護(hù)性,建議將過長的或復(fù)雜的RUN指令用反斜杠分割成多行,以提高可讀性和可維護(hù)性。
RUN指令最常見的用法是安裝包用的apt-get。因?yàn)镽UN apt-get指令會(huì)安裝包,所以有幾個(gè)問題需要注意。
- 避免運(yùn)行apt-get upgrade或dist-upgrade,在無特權(quán)的容器中,很多必要的包不能正常升級(jí)。如果基礎(chǔ)鏡像過時(shí)了,應(yīng)當(dāng)聯(lián)系維護(hù)者。如果你確定某個(gè)特定的包,比如foo,需要升級(jí),使用apt-get install -y foo就行,該指令會(huì)自動(dòng)升級(jí)foo包。
- 永遠(yuǎn)將apt-get update和apt-get install一起執(zhí)行,否則apt-get install會(huì)出現(xiàn)異常。
- 推薦apt-get update && apt-get install -y package-a package-b這種方式,先更新,之后安裝最新的軟件包。
RUN apt-get update && apt-get install -y
aufs-tools
automake
btrfs-tools
build-essential
curl
dpkg-sig
git
iptables
libApparmor-dev
libcap-dev
libsqlite3-dev
lxc=1.0*
mercurial
parallel
reprepro
ruby1.9.1
ruby1.9.1-dev
s3cmd=1.1.0*
將apt-get update放在一條單獨(dú)的RUN聲明中會(huì)導(dǎo)致緩存問題以及后續(xù)的apt-get install失敗。比如,假設(shè)有一個(gè)Dockerfile文件:
FROM ubuntu:14.04
RUN apt-get update
RUN apt-get install -y curl
構(gòu)建鏡像后,所有的層都在Docker的緩存中。假設(shè)后來又修改了其中的apt-get install添加了一個(gè)包:
FROM ubuntu:14.04
RUN apt-get update
RUN apt-get install -y curl Nginx
Docker發(fā)現(xiàn)修改后的RUN apt-get update指令和之前的完全一樣。所以,apt-get update不會(huì)執(zhí)行,而是使用之前的緩存鏡像。因?yàn)閍pt-get update沒有運(yùn)行,后面的apt-get install可能安裝的是過時(shí)的curl和nginx版本。
使用RUN apt-get update && apt-get install -y可以確保Dockerfiles每次安裝的都是包的最新的版本,而且這個(gè)過程不需要進(jìn)一步的編碼或額外干預(yù)。這項(xiàng)技術(shù)叫做cache busting(緩存破壞)。
EXPOSE 指令
EXPOSE指令用于指定容器將要監(jiān)聽的端口。因此,要為應(yīng)用程序使用常見的端口。
例如,提供Apache web服務(wù)的鏡像應(yīng)該使用EXPOSE 80,而提供MongoDB服務(wù)的鏡像使用EXPOSE 27017。
對(duì)于外部訪問,用戶可以在執(zhí)行docker run時(shí)使用一個(gè)-p參數(shù)來指示如何將指定的端口映射到所選擇的端口。
ENV 指令
為了方便新程序運(yùn)行,可以使用ENV指令來為容器中安裝的程序更新PATH環(huán)境變量。例如使用ENV PATH /usr/local/nginx/bin:$PATH來確保CMD ["nginx"]能正確運(yùn)行。
ENV指令也可用于為容器化的服務(wù)提供必要的環(huán)境變量,比如Postgres需要的PGDATA。最后,ENV也能用于設(shè)置常見的版本號(hào),比如下面的示例:
ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && …
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH
類似于程序中的常量,這種方法可以只需改變ENV指令來自動(dòng)的改變?nèi)萜髦械能浖姹尽?/p>
CMD
CMD指令是容器啟動(dòng)以后,默認(rèn)的執(zhí)行命令,需要重點(diǎn)理解下這個(gè)默認(rèn)的含義,意思就是如果我們執(zhí)行docker run沒有指定任何的執(zhí)行命令或者Dockerfile里面也沒有指定ENTRYPOINT,那么就會(huì)使用CMD指定的執(zhí)行命令執(zhí)行了。這也說明了ENTRYPOINT才是容器啟動(dòng)以后真正要執(zhí)行的命令。
所以經(jīng)常遇到CMD會(huì)被覆蓋的情況。為什么會(huì)被覆蓋呢?主要還是因?yàn)镃MD的定位就是默認(rèn),如果不額外指定,那么才會(huì)執(zhí)行CMD命令,但是如果我們指定了的話那就不會(huì)執(zhí)行CMD命令了,也就是說CMD會(huì)被覆蓋。
CMD總共有三種用法:
CMD ["executable", "param1", "param2"] # exec 形式
CMD ["param1", "param2"] # 作為 ENTRYPOINT 的默認(rèn)參數(shù)
CMD command param1 param2 # shell 形式
CMD推薦使用CMD ["executable","param1","param2"]這樣的格式。如果鏡像是用來運(yùn)行服務(wù),需要使用CMD["apache2","-DFOREGROUND"],這種格式的指令適用于任何服務(wù)性質(zhì)的鏡像。
ENTRYPOINT 指令
根據(jù)官方定義來說ENTRYPOINT才是用于定義容器啟動(dòng)以后的執(zhí)行程序的,允許將鏡像當(dāng)成命令本身來運(yùn)行(用CMD提供默認(rèn)選項(xiàng)),從名字也可以理解,是容器的入口。
ENTRYPOINT 一共有兩種用法:
ENTRYPOINT ["executable", "param1", "param2"] (exec 形式)
ENTRYPOINT command param1 param2 (shell 形式)
對(duì)應(yīng)命令行exec模式,也就是帶中括號(hào)的,和CMD的中括號(hào)形式是一致的。但是這里貌似是在shell的環(huán)境下執(zhí)行的,與cmd有區(qū)別。
如果run命令后面有執(zhí)行命令,那么后面的全部都會(huì)作為ENTRYPOINT的參數(shù)。如果run后面沒有額外的命令,但是定義了CMD,那么CMD的全部內(nèi)容就會(huì)作為ENTRYPOINT的參數(shù),這同時(shí)是上面我們提到的CMD的第二種用法。
所以說ENTRYPOINT不會(huì)被覆蓋。當(dāng)然如果要在run里面覆蓋,也是有辦法的,使用--entrypoint參數(shù)即可。
一般會(huì)用ENTRYPOINT的中括號(hào)形式作為Docker容器啟動(dòng)以后的默認(rèn)執(zhí)行命令,里面放的是不變的部分,可變部分比如命令參數(shù)可以使用CMD的形式提供默認(rèn)版本,也就是run里面沒有任何參數(shù)時(shí)使用的默認(rèn)參數(shù)。如果我們想用默認(rèn)參數(shù),就直接run,否則想用其他參數(shù),就run里面加上參數(shù)。
ADD COPY
雖然ADD與COPY功能類似,但推薦使用COPY。因?yàn)樗?ADD 更透明。COPY只支持基本的文件拷貝功能,更加的可控。而ADD具有更多特定,比如tar文件自動(dòng)提取,支持URL。通常需要提取tarball中的文件到容器的時(shí)候才會(huì)用到ADD。
如果在Dockerfile中使用多個(gè)文件,每個(gè)文件應(yīng)使用單獨(dú)的COPY指令。這樣,只有出現(xiàn)文件變化的指令才會(huì)不使用緩存。
為了控制鏡像的大小,不建議使用ADD指令獲取URL文件。正確的做法是在RUN指令中使用wget或curl來獲取文件,并且在文件不需要的時(shí)候刪除文件。
RUN mkdir -p /usr/src/things
&& curl -SL http://example.com/big.tar.gz
| tar -xJC /usr/src/things
&& make -C /usr/src/things all
VOLUME
VOLUME指令用于聲明容器中的目錄將被持久化保存,即在容器中創(chuàng)建的目錄將被掛載到宿主機(jī)或其他容器中,以便數(shù)據(jù)可以在容器之間共享。
VOLUME指令應(yīng)當(dāng)暴露出數(shù)據(jù)庫的存儲(chǔ)位置,配置文件的存儲(chǔ)以及容器中創(chuàng)建的文件或目錄。由于容器結(jié)束后并不保存任何更改,應(yīng)該把所有數(shù)據(jù)通過VOLUME保存到host中。
強(qiáng)烈建議使用VOLUME來管理鏡像中的可變部分和用戶可以改變的部分。
USER
如果服務(wù)不需要特權(quán)來運(yùn)行,使用USER指令切換到非root用戶。使用RUN groupadd -r MySQL && useradd -r -g mysql mysql之后用USER mysql切換用戶。
要避免使用sudo來提升權(quán)限,因?yàn)樗豢深A(yù)期的TTY和信號(hào)轉(zhuǎn)發(fā)行為可能造成的問題比它能解決的問題還多。如果你真的需要和sudo類似的功能(例如,以root權(quán)限初始化某個(gè)守護(hù)進(jìn)程,以非root權(quán)限執(zhí)行它),你可以使用gosu。我們可以去查看官方的一些鏡像,很多都是使用的gosu。
最后,不要反復(fù)地切換用戶,減少不必要的layers。
WORKDIR
為了清晰性和可靠性,WORKDIR的路徑應(yīng)該始終使用絕對(duì)路徑。同時(shí),使用WORKDIR來替代RUN cd ... && do-something這樣難以維護(hù)的指令。后者難以閱讀、排錯(cuò)和維護(hù)。
