Dockerfile制作镜像精简之道

精简Docker镜像的好处很多,不仅可以节省存储空间和带宽,还能减少安全隐患 。优化镜像大小的手段多种多样,因服务所使用的基础开发语言不同而有差异 。本文将介绍精简Docker镜像的几种通用方法 。
精简Docker镜像的好处:减少构建时间
减少磁盘使用量
减少下载时间
因为包含文件少,攻击面减小,提高了安全性
提高部署速度
使用精简版的基础镜像【Dockerfile制作镜像精简之道】这里我们使用alpine版本的基础镜像,alpine是一个高度精简又包含了基本工具的轻量级linux发行版,本身的Docker镜像只有四到五兆大小 。使用alpine基础镜像来减小镜像体积,以保证部署和扩容速度 。各开发语言和框架都有基于alpine制作的基础镜像,在开发自己应用的镜像时,选择这些镜像作为基础镜像,可以大大减小镜像的体积 。
各种语言对应的基础镜像如下:

JAVA(Spring Boot): - openjdk:8-jdk-alpine,openjdk:8-jre-alpine等
Java(Tomcat) - tomcat:8.5-alpine等
Nodejs - node:9-alpine, node:8-alpine等
Python - python:3-alpine, python:2-alpine等
php - 基于php:7-fpm-alpine,php:5-fpm-alpine等镜像添加Nginx,参考https://hub.docker.com/r/trafex/alpine-nginx-php7/
Ruby:ruby:2-alpine等
Go/可执行文件 - 直接基于alpine镜像,把编译后的可执行文件打入镜像 。因为alpine不同于普通的Ubuntu/centos等发行版,需要静态编译和链接应用代码,例如Go需要关闭cgo: CGO_ENABLED=0 go build ...
静态页面 - nginx:1-alpine等
相同的命令放在一行在使用dockerfile的时候,使用最多的命令是RUN指令,但是使用太多的RUN指令,会导致镜像有很多的层,因为每一个指令就会导致写入一个层,这样镜像就非常臃肿,甚至有可能会超过最大数限制,这个时候我们可以将多个命令串联起来合并为一个RUN指令(运算符&&和/) 。
下面对其进行一下对比:
FROM centos:7.5.1804RUN mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backupRUN curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repoRUN yum -y install httpdRUN yum -y install bind RUN yum clean allCMD testv1FROM centos:7.5.1804RUN mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup &&curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo &&yum -y install httpd bind &&yum clean allCMD nginx对比结果:
Dockerfile制作镜像精简之道

文章插图
 
使用多阶段构建Dockerfile中每条指令都会为镜像增加一个镜像层,并且你需要在移动到下一个镜像层之前清理不需要的组件 。实际上,有一个Dockerfile用于开发(其中包含构建应用程序所需的所有内容)以及一个用于生产的瘦客户端,它只包含你的应用程序以及运行它所需的内容 。这被称为“建造者模式” 。Docker 17.05.0-ce版本以后支持多阶段构建 。使用多阶段构建,你可以在Dockerfile中使用多个FROM语句,每条FROM指令可以使用不同的基础镜像,这样您可以选择性地将服务组件从一个阶段COPY到另一个阶段,在最终镜像中只保留需要的内容 。
下面是一个使用COPY --from 和 FROM … AS … 的Dockerfile:
# CompileFROM golang:1.9.0 AS builderWORKDIR /go/src/v9.git...com/.../k8s-monitorCOPY . .WORKDIR /go/src/v9.git...com/.../k8s-monitorRUN make buildRUN mv k8s-monitor /rootPackageUse scratch imageFROM scratchWORKDIR /root/COPY --from=builder /root .EXPOSE 8080CMD ["/root/k8s-monitor"] 构建镜像,你会发现生成的镜像只有上面COPY 指令指定的内容,镜像大小只有2M 。这样在以前使用两个Dockerfile(一个Dockerfile用于开发和一个用于生产的瘦客户端),现在使用多阶段构建就可以搞定 。
构建业务代码的技巧在打包业务代码的时候,通常我们都是直接将jar包或者是war包放进docker中,但是这样的话会导致打包速度很慢 。怎么解决呢?我们可以先将jar包或者是war包解压出来然后多执行几个COPY,这样我们的打包速度就可以快很多 。以下以jeecg-boot为例说明:
1、解压我们的jar包
unzip jeecg-boot-module-system-2.1.1.jar -d App2、我们将应用分成四个部分打进docker镜像中,最后一行是解压缩后,启动spring boot应用的方式 。
FROM openjdk:8-jre-alpineCOPY app/BOOT-INF/lib/ /app/BOOT-INF/lib/COPY app/org /app/orgCOPY app/META-INF /app/META-INFCOPY app/BOOT-INF/classes /app/BOOT-INF/classesEXPOSE 8888CMD ["/usr/bin/java", "-cp", "/app", "org.springframework.boot.loader.JarLauncher"]


推荐阅读