docker——dockerfile的调优最佳实践_尤达c的博客-程序员宅基地

技术标签: Docker  docker  

前言

在容器领域,docker 公司提出的容器镜像已经成为目前容器打包交付的事实标准。构建镜像需要编写 Dockerfile,如何编写一个优雅的 Dockerfile 呢?在 Docker 公司的官方文档中给出了一篇

Best practices for writing Dockerfiles。
https://g.126.fm/03ncYHS

本文在此基础上做了一些修改,力图让大家在工作中写出一份不错的 Dockerfile。
本文分为三个部分,首先会直接给出一份 Dockerfile 的参考模板,然后说明如和构建高效的镜像并解释这个模板这样组织的原因,最后会补充说明一些编写过程中的常见问题。

一份简单的Dockerfile参考模板

docker 官方给出的参考文档中给出的 Dockerfile 指令接近 20 个,而我们平时在编写的时候,经常用到的不超过 10 个。因此,这里给出了一份 Dockerfile 的参考模板,几乎可以覆盖大部分的使用场景。

FROM base_image:tag    # 引用基础镜像 *必要*

ARG arg_key[=default_value1]     # 声明变量
ENV env_key=value2     			# 声明环境变量

# ①构建几乎不变的部分,例如整体的目录结构,build时依赖的文件和工具包等
COPY src dst
RUN command1 && command2 ...

WORKDIR /path/to/work/dir   # 设置工作目录 

# ②构建较少变动的部分,例如应用的依赖的文件、依赖的包等
COPY src dst
RUN command3 && command4 ...

# ③构建经常变动的部分,例如应用的编译生成
COPY src dst
RUN command5 && command6 ...

# 容器入口  *必要*
ENTRYPOINT ["/entry.app"]  # 指定容器启动时默认执行的命令
CMD ["--options"] # 指定容器启动时默认命令的默认参数

构建高效镜像生命周期

容器的一个重要的特点就是能够快速迭代,因此在容器镜像迭代的各个环节也应该尽量做到简洁高效。

1. 镜像build

精简 context: 每次 build,context 都会复制给 docker daemon,因此要去掉 context 中无关的部分
多层镜像:如果镜像很复杂,通常将其分成基础镜像(适用于多种应用,内容基本不变的部分)和应用镜像,应用镜像通过 FROM 基础镜像来减少 build 的步骤
利用构建缓存(build cache): 每次在 build 时,docker daemon 会默认从已在缓存中的父镜像开始,将下一条指令与从该基本镜像派生的所有子镜像进行比较,以查看是否其中一个是使用完全相同的指令构建的。如果不是,则缓存无效。因此,为了能够提高缓存的命中率,在编写 Dockerfile 时,应该尽量按照变动的频率来组织(如上文中的模板)
减少 layers: RUN, COPY, ADD 等指令会在 build 时产生对应的 layer,在较旧的 Docker 版本中,需要最小化镜像中的层数以确保其性能。因此,使用&&来连接多个 RUN 命令是一个常用的方法(如上文中的模板)
使用 multi-stage builds: 新特性,多阶段镜像构建,在Docker 多阶段构建镜像multi-stage有详细介绍

2. 镜像pull

docker 官方详细描述了 docker 镜像和容器在宿主机上的存储方式:https://docs.docker.com/storage/storagedriver/,简单来说就是:

  • 镜像层 ,只读,使用相同镜像的多个容器共用一份。镜像又按照 layers 分层:
    每层都有独立的 ID
    不同镜像如果有相同 ID 的 layer 时,共用一份

  • 容器层,可写,采用写时复制,容器在运行时修改的内容会在这一层
    根据镜像的存储方式,我们也可以加快镜像的 pull 过程:

  • 多层镜像:和 build 时的分层镜像一样,利用本地已经存储的基础镜像来减少需要 pull 的 size,
    利用 image layer 复用相同层:和 build 时利用缓存类似,利用本地已经存储的 layer 来减少需要 pull 的 size

  • 镜像预热:提前或空闲时 pull 镜像

常见问题

1. 注意Dockerfile中的指令是逐条执行,且相互独立

# 下面这种写法会报错,第二个RUN执行时的WORKDIR依旧是原来的目录,不是/some/dir
RUN cd /some/dir
RUN bash script.sh

# 改成下面两种之一
RUN cd /some/dir && bash script.sh
RUN bash /some/dir/script.sh

2. 提防“过度”缓存

前文也提到过,Dockerfile 中每条指令逐条执行,且相互独立。大部分的指令在 build 时会生成对应的一层(layer),并被缓存。这种机制在绝大部分的情况下都工作的很好,但是有时也会产生问题:

# Dockerfile1
FROM ubuntu:18.04
RUN apt-get update
RUN apt-get install -y nginx

# Dockerfile2
FROM ubuntu:18.04
RUN apt-get update
RUN apt-get install -y nginx curl

如上,原 Dockerfile1 使用一段时间之后修改成 Dockerfile2(只修改了install这一行)。由于缓存机制(假设之前 build 的缓存还存在),Dockerfile2 在 build 时,update这一行不会真的执行,而是直接拿之前的缓存。此时再到第三行执行时,安装的 nginx 和 curl 可能就不是当前的最新版本。

# 官方推荐的apt-get使用方式:
RUN apt-get update && apt-get install -y \
    curl \
    nginx=1.16.* \
    && rm -rf /var/lib/apt/lists/*

3. ARG与ENV

两种指令都可以用来定义变量,但是使用上有很多要注意的点:

  • FROM 前的 ARG 只能在 FROM 中使用,如果在 FROM 后也要使用,需要重新声明

     ARG key=value
     FROM xxx${key}xxxx
     ARG key # 这里需要再次声明才能使用
    
  • ARG 变量的作用范围是 build 阶段 ARG 之后的指令,不会带入镜像

  • ENV 环境变量作用范围是 build 阶段 ENV 声明的指令,并且会编入镜像,容器运行时也会这些环境变量也生效

  • CMD 和 ENTRYPOINT 中不能使用 ARG 和 ENV 定义的变量

  • 当 ARG 和 ENV 变量同名时(无论是谁先定义),ENV 环境变量的值会覆盖 ARG 变量

  • ENV 会产生中间层(layer),被编入镜像,即使使用 unset 也无法去掉,例如:

      FROM alpine
      ENV ADMIN_USER="mark"  # 此时产生了layer
      RUN echo $ADMIN_USER > ./mark
      RUN unset ADMIN_USER 
      # 使用unset只是去掉了build时的环境变量,但是最终生成的镜像中还是会有这个变量
      
      # 运行镜像还是会打印环境变量
      docker run --rm test sh -c 'echo $ADMIN_USER'
      mark
      
      # 如果想要消除这种影响,可以改成:
      FROM alpine
      RUN export ADMIN_USER="mark" \
          && echo $ADMIN_USER > ./mark \
          && unset ADMIN_USER
      CMD sh
    

4. COPY与ADD

两个指令几乎相同,当你只想复制本地 context 中的文件到镜像中时,请无脑用 COPY。

COPY 与 ADD 使用时,注意以下规则:

1、注意文件的属性,复制时可以同时修改属主和属组 COPY/ADD [--chown=<user>:<group>] <src> <dest>
2、如果不清楚目录与反斜线对这两个指令的影响,对所有目录都加上反斜线就比较好理解了,如COPY - <src_dir>/ <dest_dir>/,因为:
3、<src>是目录时,是否带反斜线都只会复制目录下的所有文件,不会复制目录本身,如果要复制目录本身,需要使用``的父目录
4、<dest>是目录时,必须带反斜线才会把文件复制到dest下
5、<src>必须在 context 下,不能使用../跳出 context

6、ADD 指令除了 COPY 的所有功能外,还有以下特性,如非必要,尽量少用:
	<src>是本地 tar 文件(常见的压缩格式)时,会自动解包
	<src>可以是 url,支持从远程拉取

5. CMD与ENTRYPOINT

又是一对很类似的指令,二者若有多条出现都是只执行最后一条,使用时需要注意:

  • CMD 单独使用时,用来指定容器启动时默认执行的命令
  • ENTRYPOINT 单独使用时,可以完全取代 CMD
  • ENTRYPOINT 和 CMD 一起使用时,CMD 变成 ENTRYPOINT 的默认参数
  • 推荐使用 ENTRYPOINT/CMD 的 exec 书写形式:即ENTRYPOINT [“entry.app”, “arg”],因为 shell 书写形式(ENTRYPOINT entry.app arg)会额外启动 shell 进程

下表列出了 CMD 与 ENTRYPOINT 的各种组合时的效果:

在这里插入图片描述

另外,通过在 docker run 最后的添加字段,可以指定 ENTRYPOINT 的实际参数

  # 镜像 test_entrypoint
  ENTRYPOINT ["./entry.app"]
  CMD ["--help"]

  # 运行 test_entrypoint
  docker run test_entrypoint # 即./entry.app --help
  # 带参数运行
  docker run test_entrypoint -a -t  # 即 ./entry.app -a -t

6. multi-stage builds

Docker 17.05 之后的版本支持一种新的 build 方式:多阶段构建(multi-stage builds)。与传统方式的区别在与,多阶段构建能够使用多个 FROM 将整个 build 阶段分成多个阶段:

  • 通过为不同阶段命名,可以通过一份 Dockerfile 来管理 debug、test、product 等多种环境的镜像
  • 通过COPY --from=stage_name,来复制中间 stage 的文件到目标阶段,使得最终生成更小的镜像

例如,上文提到的模板就可以通过多阶段构建的方式来优化。假设我们最终只想得到 entry.app 及其运行环境,而不需要它的编译环境,那么可以通过如下方式优化最终生成的镜像的大小:

# 使用多阶段构建,这里命名一个builder阶段,生成编译后的app
FROM base_image:tag AS builder   

ARG arg_key[=default_value1]     # 声明变量
ENV env_key=value2     # 声明环境变量

# 构建整体的目录结构,build时依赖的文件和工具包等
COPY src dst
RUN command1 && command2 ...

WORKDIR /path/to/work/dir   # 设置工作目录 

# 构建编译环境
COPY src dst
RUN command3 && command4 ...

# 编译生成entry.app
COPY src dst
RUN compile_entry_app

# 构建最终镜像的阶段,只保留应用和其运行环境,编译的依赖都不需要
FROM base_image:tag
COPY src dest    # 复制运行环境
WORKDIR /path/to/work/dir   # 设置工作目录 
COPY --from=builder entry.app . # 从builder阶段复制app
# 容器入口
ENTRYPOINT ["/entry.app"]  # 指定容器启动时默认执行的命令
CMD ["--options"] # 指定容器启动时默认命令的默认参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51971452/article/details/115384200

智能推荐

Springboot整合mybatis以及druid连接池_Coding路人王的博客-程序员宅基地

精选30+云产品,助力企业轻松上云!&gt;&gt;&gt; 1.引入...

大菜鸡的数论之旅-[kuangbin]数学训练四 数论_正经人谁在树上做dp的博客-程序员宅基地

[kuangbin]数学训练四 数论A题 LightOJ 1007 Mathematically HardProblem DescriptionMathematically some problems look hard. But with the help of the computer, some problems can be easily solvable.In this prob...

python串口通讯三次有一次正常_DMM、Python和串口:在循环过程中,通信突然停止..._飞行少女阿若的博客-程序员宅基地

我用安捷伦数字万用表来测量。我使用python2.7和PySerial模块与它通信。想法:使用FOR循环,我从DMM读取数据并获取数据。它一直工作到某个点,每次都是不同的点。在例如:如果我将循环设置为测量20k次,它在1k次后突然停止,下一次尝试可能在5k次后停止。。。。停止-意味着DMM停止发送数据,而python仍处于等待状态。我的脚本卡住了,我不得不终止它。没有错误,我也不知道为什么。我试着...

权重覆盖:vxe-table element-ui 抽屉层覆盖样式问题_前前前端端端的博客-程序员宅基地

点击删除样式在背后显示是样式的权重问题,首先在vue

RPM 的介绍和应用_yang283627478的博客-程序员宅基地

作者:北南南北来自:LinuxSir.Org提要:RPM 是 Red Hat Package Manager 的缩写,原意是Red Hat 软件包管理;本文介绍RPM,并结合实例来解说RPM手工安装、查询等应用; ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++正文:++++++++++++++++++++++++

使用QPainter、QPainterPath、QRegion绘图实践_wangzai6378的博客-程序员宅基地

使用qt的QPainter可以绘制出任何你想要的图形,同时也须要一定的功底;这里是个人使用的一些实践例子,以作学习和备忘。本次介绍主要有画弦、矩形、圆、椭圆、QPainterPath一次性画多个、画贝塞尔曲线、画扇形、画弧、裁剪、掩码等。

随便推点

Nginx上线uwsgi+django项目(nginx部署uwsgi+django算法集群)_月半弯、沐戈的博客-程序员宅基地

nginx反向代理服务器,负责接收请求。特点占有内存少,并发能力强。uwsgi是一个Web服务器,它实现了服务器和服务端应用程序的通信协议(WSGI协议、uwsgi、http等协议)。Nginx中HttpUwsgiModule的作用是与uWSGI服务器进行交换。WSGI是一种Web服务器网关接口,规定了怎么把请求转发给应用程序和返回。主要特点是:性能快、占有内存少、多app管理、日志详尽、可定制(内存大小限制,服务一定次数后重启等)。1 使用uwsgi.ini配置文件启动faceident项目

Kotlin第十五讲---强大的委托机制_奇舞移动的博客-程序员宅基地

内容简介委托是 Kotlin 中新引入的一种东东,它能给我们开发中带来很多的便利,接下来由我给大家揭开它的面纱,并且给大家提供几种好用的实战经验。类委托在Kotlin中若类实现某接口...

物性参数库查询网站集合_hakspc的博客-程序员宅基地_物性参数查询

The National Institute of Standards and Technology (NIST) is an agency ofthe U.S. Department of Commerce,完全开放,免费,具有可靠性,主要包括所有单质、化合物等纯净物的热力学性质。已测,推荐http://kinetics.nist.gov/janaf/ MatWeb免费材料信息资源数...

Redis-概念_夏竹AT的博客-程序员宅基地

Redis概念基础使用数据类型事务机制消息消息高级使用主从复制String类型Hash类型List类型Set类型Zset类型HyperLogLog高级命令基础使用数据类型一、数据类型 数据结构 操作 应用 [1]String类型 key: String value:所有类型[2]Ha...

最小二乘法拟合圆c语言,最小二乘法拟合圆_weixin_39767386的博客-程序员宅基地

/*** 最小二乘法拟合圆* 拟合出的圆以圆心坐标和半径的形式表示* 此代码改编自 newsmth.net 的 jingxing 在 Graphics 版贴出的代码。* 版权归 jingxing, 我只是搬运工外加一些简单的修改工作。*/typedef complex POINT;bool circleLeastFit(const std::vector &amp;points, double ¢...

Androud中项目引入V7包不成功_spt_dream的博客-程序员宅基地

v7容易重复引用,需要删除外部引入内的v4,但是还是爆红,引入不成功怎么办???告诉大家,一定是你v7包盘符与项目不在一起,,,,,没注意到吧??坑了我好久,希望能帮到你

推荐文章

热门文章

相关标签