1- 镜像要求
需要一定程度的独立性、可控性以及安全性
2- Docker镜像继承
一个Docker镜像也可以继承另外一个镜像,或者“扩展”,它就可以拥有这个镜像的所有功能。同时,它也可以替换或者覆盖这个基础镜像的功能。
优点:
- 复用性 – 给基础镜像添加功能对所有继承的镜像都可用
- 扩展性 – 可以在维护继承功能的同时向镜像添加附加功能
- 叠加性 – 基础镜像功能可以被替换
- 结构一致性 – 基础镜像的文件系统布局跟所有继承它的的镜像布局一致
- 成熟性 – 随着基础映像的发展,继承的映像也会随着发展。解决安全漏洞就是一个很好的例子
3- 操作系统
Docker镜像的文件系统基于不同Linux系统的发行版。
小的镜像通常意味着相对比较少的文件,较少文件也会降低发生恶意行为的几率。
在一个镜像的底层,操作系统的层级往往从标准的Alpine Linux发行版扩展而来。在Docker社区已经赢得很好的口碑,它是非盈利,高效资源以及安全的。
案例:
FROM alpine:3.10.2
LABEL relenteny.repository.url=https://github.com/relenteny/alpine
LABEL relenteny.repository.tag=3.10.2
LABEL relenteny.alpine.version=3.10.2
RUN set -x && \
addgroup -g 1000 -S alpine && \
adduser -u 1000 -G alpine -h /home/alpine -D alpine && \
apk add –no-cache curl bind-tools
USER alpine
WORKDIR /home/alpine
ENTRYPOINT [“/bin/sh”, “-l”]
CMD []案例说明:
- 创建了一个用户alpine,并将其设置为实例化容器的运行用户。用户alpine不能作为特权用户运行。这是保护Docker镜像的一个重要方面。实例化容器将启动的目录被设置为alpine用户的主目录。
- curl以及bind-tools都会被添加到基础镜像中。
- 容器将简单地启动一个登录shell。这里不需要CMD[]指令,但是在Dockerfile中定义
ENTRYPOINT和CMD - LABLE提供信息,通过开发和部署过程跟踪镜像
3- 最精简的基础镜像
选择体积最小的基础镜像可有效降低镜像体积。如:alpine、busybox等
4- 清理镜像构建的中间产物
当dockerfile的指令执行完成后,删除镜像不需要用的的文件。如使用yum安装组件,最后可使用yum clean all镜像清理不需要的文件或者使用系统rm命令删除不需要的源文件等。
5- 减少镜像的层数
镜像是一个分层存储的文件,并且镜像对层数也是有一定数量的限制,当前镜像的层数最高是127层,如果不多加注意,将会导致镜像越来越臃肿。在使用dockerfile构建镜像时,dockerfile中的每一条指令都会生成一个层,因此可以通过合并dockerfile中可合并的指令,减少最终生成镜像的层数。
例如:在dockerfile中使用RUN执行shell命令是,可以用"&&"将多条命令连接起来。
6- 充分利用镜像构建缓存
利用构建的缓存来加快镜像构建速度,Docker构建默认会开启缓存,缓存生效有三个关键点,镜像父层没有发生变化,构建指令不变,添加文件校验和一致。只要一个构建指令满足这三个条件,这一层镜像构建就不会再执行,它会直接利用之前构建的结果。
某一层的镜像缓存失效之后,它之后的镜像层缓存都会失效。我们应该把变化最少的部分放在Dockerfile的前面,这样可以充分利用镜像缓存。dockerfile中有可能导致缓存失效的命令WORKDIR、CMD、ENV、ADD等,像这些命令最好放到dockerfile底部,以便在构建镜像过程中最大限度使用缓存。
7- 删除构建目录中(默认:Dockerfile所在目录)不需要用的的文件
编写.dockerignore文件过滤构建过程中不必要的文件或者创建单独的目录,并且目录中仅存在镜像构建过程中需要使用的文件。
Docker 在运行时分为 Docker 引擎(也就是服务端守护进程)和客户端工具。Docker 的引擎提供了一组 REST API,被称为 Docker Remote API,而如 docker 命令这样的客户端工具,则是通过这组 API 与 Docker 引擎交互,从而完成各种功能。因此,虽然表面上我们好像是在本机执行各种 docker 功能,但实际上,一切都是使用的远程调用形式在服务端(Docker 引擎)完成。docker build 命令构建镜像,其实并非在本地构建,而是在服务端,也就是 Docker 引擎中构建的。
构建镜像时,Docker需要先准备context ,将所有需要的文件收集到进程中。默认的context包含Dockerfile目录中的所有文件。如果目录中的存在大量不相关的文件,不仅会导致构建缓慢,而且还会导致镜像体积增大。
.dockerignore示例如下:
在一个git项目中,我们并不需要.git目录等内容。可以在.dockerignore文件中加入以下内容:
.git/
.dockerignore 的作用和语法类似于 .gitignore,可以忽略一些不需要的文件,这样可以有效加快镜像构建时间,同时减少Docker镜像的大小。
8- 优化网络请求
使用一些镜像源或者在dockerfile中使用互联网上的url时,去用一些网络比较好的开源站点,这样可以节约时间、减少失败率
9- dockerfile指令优化
- ADD 和 COPY
- 某些情况下,如果我们真的是希望复制个压缩文件进去,而不解压缩,这时就不可以使用 ADD 命令
- 可能的使用 COPY
- 仅在需要自动解压缩的场合使用 ADD。【ADD 指令会令镜像构建缓存失效,从而可能会令镜像构建变得比较缓慢】
10- 启动命令
- 设置启动命令时, 应该尽量使用 JSON 格式 CMD ["command", "arg1", "arg2"]
- 需要把容器当做一个命令行工具使用时, 推荐通过 ENTRYPOINT 指令设置镜像的入口程序
- 主程序之前还需要执行大量的前置操作时, 可以将 ENTRYPOINT 的入口指令设置为一个脚本 start.sh
11- WORKDIR
尽量使用绝对路径
切换目录的时候尽量使用 WORKDIR, 而不是使用 RUN cd /data
12- USER
如果容器中的应用程序运行时不需要特殊的权限, 可以通过 USER 指令把应用程序的所有者设置为非 root 用户。
在镜像中避免使用sudo 命令. 应为该命令使用的 TTY 不确定, 对接收信号量也会造成影响. 如果确实需要使用 sudo 功能, 则可是使用 gosu 命令替代
可以用 root 用户初始化一个 daemon, 然后用非 root 用户启动这个 daemon
为了减少镜像体积, 应该避免不必要的用户切换
13- EXPOSE
在 bridge 模式下, 这些容器内部的端口会映射到宿主机的端口上, 建议在容器内部不要更改应用原生的端口号