内容简介:一般而言,除此之外,在Docker Hub当中我们可以发现常用的此处直接拉取基础镜像,查看镜像大小, 通过观察我们可以发现,
-
"Distroless" images contain only your application and its runtime dependencies. They do not contain package managers, shells or any other programs you would expect to find in a standard Linux distribution.
distroless
是 Google 推出的一个仅仅包含运行时环境,不包含包管理器,shell
等其他程序。如果你的程序没有其他依赖的话,这是一个不错的选择 -
Alpine Linux is a security-oriented, lightweight Linux distribution based on musl libc and busybox.
alpine 是一个基于
musl
,busybox
的安全的linux
发行版。麻雀虽小五脏俱全,虽然不到 10M, 但是包含了一个包管理器和shell
环境,这在我们实际的使用调试当中将非常有用。但是请注意,由于
alpine
使用了更小的muslc
替代glibc
,会导致某些应用无法使用,需要重新编译 -
scratch 是空白镜像,一般用于基础镜像构建,例如
alpine
镜像的dockerfile
便是从scratch
开始的FROM scratch ADD alpine-minirootfs-20190228-x86_64.tar.gz / CMD ["/bin/sh"] 复制代码
一般而言, distroless
相对会更加的安全,但是在实际使用的过程中可能会遇到添加依赖以及调试方面的问题, alpine
更小,自带包管理器,更加贴合使用习惯,但是 muslc
可能会带来兼容性的问题,一般而言我会选择 alpine
作为基础镜像使用。
除此之外,在Docker Hub当中我们可以发现常用的 Debian
的镜像也会提供的只包含基础功能的小镜像
基础镜像对比
此处直接拉取基础镜像,查看镜像大小, 通过观察我们可以发现, alpine
只有 5M 左右为 debian
的 20 分之一
alpine latest 5cb3aa00f899 3 weeks ago 5.53MB debian latest 0af60a5c6dd0 3 weeks ago 101MB ubuntu 18.04 47b19964fb50 7 weeks ago 88.1MB ubuntu latest 47b19964fb50 7 weeks ago 88.1MB alpine 3.8 3f53bb00af94 3 months ago 4.41MB 复制代码
似乎从上面看,感觉差距不大,实践中,不同语言的基础镜像都会提供一些采用不同基础镜像制作的 tag,下面我们以 ruby
的镜像为例,查看不同基础镜像的差异。可以看到默认的 latest 镜像 881MB
而 alpine
仅仅只有不到 50MB
这个差距就十分的可观了
ruby latest a5d26127d8d0 4 weeks ago 881MB ruby alpine 8d8f7d19d1fa 4 weeks ago 47.8MB ruby slim 58dd4d3c99da 4 weeks ago 125MB 复制代码
减少层,去除非必要的文件
- 删除文件不要跨行
# dockerfile 1 FROM alpine RUN wget https://github.com/mohuishou/scuplus-wechat/archive/1.0.0.zip # dockerfile 2 FROM alpine RUN wget https://github.com/mohuishou/scuplus-wechat/archive/1.0.0.zip RUN rm 1.0.0.zip # dockerfile 3 FROM alpine RUN wget https://github.com/mohuishou/scuplus-wechat/archive/1.0.0.zip && rm 1.0.0.zip 复制代码
test 3 351a80e99c22 5 seconds ago 5.53MB test 2 ad27e625b8e5 49 seconds ago 6.1MB test 1 165e2e0df1d3 About a minute ago 6.1MB 复制代码
可以发现 1,2 两个大小一样,但是 3 小了 0.5MB,这是因为 docker 几乎每一行命令都会生成一个层,删除文件的时候:因为底下各层都是只读的,当需要删除这些层中的文件时,AUFS 使用 whiteout 机制,它的实现是通过在上层的可写的目录下建立对应的 whiteout 隐藏文件来实现的,所以在当前层去删除上一层的文件,只是会把这个文件隐藏掉罢了
- 使用单行命令
除了删除语句需要放在一行以外,由于层的机制,我们安装依赖的一些公共的语句最好也使用条 RUN
命令生成,减少最终的层数
-
分离依赖包,以及源代码程序,充分利用层的缓存
这是一个 最佳实践 ,在实际的开发过程中,我们的依赖包往往是变动不大的,但是我们正在开发的源码的变动是较为频繁,如果我们实际的代码只有
10M
,但是依赖项有1G
, 如果在COPY
的时候直接COPY . .
会导致每次修改代码都会时这一层的缓存失效,导致浪费复制以及推送到镜像仓库的时间,将 COPY 语句分开,每次 push 就可以只变更我们频繁修改的代码层,而不是连着依赖一起 -
使用
.dockerignore
在使用
Git
时,我们可以通过.gitignore
忽略文件,在 docker build 的时候也可以使用.dockerignore
在 Docker 上下文中忽略文件,这样不仅可以减少一些非必要文件的导入,也可以提高安全性,避免将一些配置文件打包到镜像中
多阶段构建
多阶段构建其实也是减少层的一种,通过多阶段构建,最终镜像可以仅包含最后生成的可执行文件,和必须的运行时依赖,大大减少镜像体积。
以 GO
语言为例,实际运行的过程中只需要最后编译生成的二进制文件即可,而 GO
语言本省以及扩展包,代码文件都是不必要的,但是我们在编译的时候这些依赖又是必须的,这时候就可以使用多阶段构建的方式,减少最终生成的镜像体积
# 使用golang镜像作为builder镜像 FROM golang:1.12 as builder WORKDIR /go/src/github.com/go/helloworld/ COPY app.go . RUN go build -o app . # 编译完成之后使用alpine镜像作为最终的基础镜像 FROM alpine:latest as prod RUN apk --no-cache add ca-certificates WORKDIR /root/ # 从builder中复制编译好的二进制文件 COPY --from=builder /go/src/github.com/go/helloworld/app . CMD ["./app"] 复制代码
由于本文篇幅较长,这里不对多阶段构建展开讲解,详情可以参考多阶段构建
奇淫技巧
-
使用 dive 查看 docker 镜像的层,可以帮助你分析减少镜像体积
-
使用 docker-slim 可以自动帮助你减少镜像体积,对于 Web 应用较为有用
-
安装软件时去除依赖
# ubuntu apt-get install -y — no-install-recommends #alpine apk add --no-cache && apk del build-dependencies # centos yum install -y ... && yum clean all 复制代码
-
使用
--flatten
参数,减少层(不推荐) -
使用 docker-squash 压缩层
不同语言的示例
添加中......
Ruby(Rails)
-
只安装生产所需的依赖
-
删除不需要的依赖文件
bundle install --without development:test:assets -j4 --retry 3 --path=vendor/bundle \ # Remove unneeded files (cached *.gem, *.o, *.c) && rm -rf vendor/bundle/ruby/2.5.0/cache/*.gem \ && find vendor/bundle/ruby/2.5.0/gems/ -name "*.c" -delete \ && find vendor/bundle/ruby/2.5.0/gems/ -name "*.o" -delete 复制代码
-
删除前端的
node_modules
以及缓存文件
rm -rf node_modules tmp/cache app/assets vendor/assets spec 复制代码
上述内容可以结合 多阶段构建 实现
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。