Dockerfile最佳实践

已于 2024-04-27 23:41:53 修改
阅读量137 收藏 1
点赞数
分类专栏: kubernetes 文章标签: linux 运维
于 2023-05-17 21:22:29 首次发布
原文链接:www.baidu.com
版权

Dockerfile最佳实践


官网地址:https://docs.docker.com/develop/develop-images/dockerfile_best-practices/。

一个容器只运行一个进程

原因

  • 提供单独的扩展,仅对出现性能瓶颈的容器进行扩缩容,合理的利用资源。
  • 安全:避免当一个程序受到攻击入侵时,另一个程序直接暴露在危险之中。
  • 隔离:避免程序之间的资源竞争,合理的规划单个程序的资源限制。

不要在构建中升级版本

比如不建议在Ubuntu系统中使用apt-get upgrade。因为这个命令会把本地已安装的软件与软件列表中对应的软件进行对比,如果发现已安装的软件版本太低,就会提示更新,这样就会导致软件版本的不可控和最终构建镜像的不一致性。

将变化频率一样的RUN指令合一

RUN指令常用于安装软件包,建议把使用到的apt-get install命令合并在一起,其目的是为了更好的将镜像分层,避免带来不必要的成本。如下所示。

FROM nginx:latest

RUN apt-get update && \
    apt-get install -y iproute2 && \
    rm -rf /var/lib/apt/lists/*

使用特定的标签

建议指定特定的标签,如:14.04。因为默认的标签为:latest,当镜像更新时,标签将指向最新的镜像,这将导致最终构建镜像不一致或者有可能失败。

FROM ubuntu:14.04

删除多余的文件

当我们更新了apt-get源,下载解压并安装了一些软件包,它们都保存在"/var/lib/apt/lists/“目录中。但是,运行应用时Docker镜像中并不需要这些文件。通过删除”/var/lib/apt/lists/"目录实现清理apt cache。
除此之外,在使用Dockerfile过程中应及时清理不必要的文件,如安装包、压缩包等。参考网址:https://blog.csdn.net/qq_38556887/article/details/124431586。

RUN apt-get update && apt-get install -y nginx && rm -rf /var/lib/apt/lists/*

选择合适的基础镜像

尽可能的使用对应部署环境的官方镜像(https://hub.docker.com)。对于一些不需要部署环境的镜像,建议使用 Alpine镜像,因为它非常的小(目前不足6MB)但确是一个完整的Linux发行版,非常适合作为基础镜像。

FROM node:7-alpine

设置WORKDIR和CMD

建议使用绝对路径作为工作目录,因为这读起来更加清晰明确。
同时,这将导致之后RUN/CMD/ENTRYPOINT指令默认在工作目录执行。

WORKDIR /opt/project/npm
CMD ["npm","start"]

使用ENTRYPOINT(可选)

可以将ENTRYPOINT指令作为容器的默认执行命令,用CMD作为参数,让docker用来就像systemctl一样方便。

ENTRYPOINT ["./entrypoint.sh"]
CMD ["start"]

docker run start

在entrypoint脚本中使用exec

在上面的./entrypoint.sh中如果存在exec的命令执行,该命令将是容器中pid为1的进程。

优先使用COPY

COPY相较于ADD,更加透明可控。COPY仅支持基础的文件从本地到容器的移动,而ADD会把压缩包解压。ADD更适合于从压缩包中提取数据到容器。

合理调整COPY和RUN的顺序

将不易变化的部分先COPY,然后执行RUN命令,最后COPY剩余的部分。

设置默认的环境变量、映射端口和数据卷

  • ENV指令指定的环境变量在容器中可以使用。
  • ARG指令指定的变量仅在构建镜像时生效。
ENV PATH=/usr/local/nginx/bin:$PATH

使用EXPOSE暴露端口

EXPOSE指令可用于指定容器将要监听的端口。

多阶段构建

多阶段构建可以极大的降低镜像的大小,减少层数。例如我们可以使用第一个镜像完成编译构建过程,将产物传输到第二个镜像形成镜像包,实现构建与部署的解耦。

# syntax=docker/dockerfile:1
FROM golang:1.16-alpine AS build

# Install tools required for project
# Run `docker build --no-cache .` to update dependencies
RUN apk add --no-cache git
RUN go get github.com/golang/dep/cmd/dep

# List project dependencies with Gopkg.toml and Gopkg.lock
# These layers are only re-built when Gopkg files are updated
COPY Gopkg.lock Gopkg.toml /go/src/project/
WORKDIR /go/src/project/
# Install library dependencies
RUN dep ensure -vendor-only

# Copy the entire project and build it
# This layer is rebuilt when a file changes in the project directory
COPY . /go/src/project/
RUN go build -o /bin/project

# This results in a single layer image
FROM scratch
COPY --from=build /bin/project /bin/project
ENTRYPOINT ["/bin/project"]
CMD ["--help"]

使用VOLUME管理数据卷

VOLUME指令可以用于暴露任何数据库存储文件、配置文件或容器创建的文件和目录。

使用LABEL设置镜像元数据

合理的使用LABEL对镜像做一些标注,如发行版本、证书信息、联系方式等。

添加HEALTHCHECK

编写.dockerignore文件

功能类似.gitignore。

默行默致
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dockerfile-best-practices:Dockerfile最佳实践
05-27
Dockerfile最佳实践编写可用于生产环境的Dockerfile并不像您想象的那么简单。 该存储库包含一些编写Dockerfile最佳实践。 其中大多数来自在使用Docker和Kubernetes时的。 这只是指导,而不是命令,有时可能有理由...
Dockerfile 最佳实践
weixin_33881050的博客
03-30 152
之前 一篇文章介绍 docker 的镜像基本原理和概念 ,主要介绍在编写 docker 镜像的时候一些需要注意的事项和推荐的做法。 虽然 Dockerfile 简化了镜像构建的过程,并且把这个过程可以进行版本控制,但是不正当的 Dockerfile 使用也会导致很多问题: docker 镜像太大。如果你经常使用镜像或者构建镜像,一定会遇到那种很大的镜像,甚至有些能达到 2G 以上 docker ...
dockerfile最佳实践
weixin_30364147的博客
03-26 169
Dockerfile 编写nginx容器 [root@mast nginx]# cat Dockerfile FROM centos MAINTAINER zhaoruidong RUN yum -y install gcc gcc-c++ make openssl-devel pcre-devel gd-devel iproute net-tools telnet wge...
Docker Dockerfile 最佳实践
upupup_every的博客
07-23 188
官方资料加上自己的一点理解。 准则与建议 容器应该是短暂的 「短暂」意味着可以你可以很容易的停止、销毁、并创建你的容器。并且创建一个容器并部署好的所需的设置和配置工作量应该是极小的。 容器模型是进程而不是虚拟机,不需要开机初始化。在需要时运行,不需要时停止。能够删除后重建,并无需额外的配置。 比如,我们把数据目录、配置文件目录、缓存目录等应该都以数据卷、挂载主机目录或匿名卷的方式进行保存,这样你的容器就成为了一个无状态化的容器。重启、销毁、创建容器都是最简单的操作,无需进行额外的配置。 可以参考十二因
dockerfile:编写有价值的Docker映像的Dockerfile最佳实践
02-04
dockerfile:编写有价值的Docker映像的Dockerfile最佳实践
osquery:OSQuery构建以演示Dockerfile最佳实践
05-24
osquery OSQuery构建以演示Dockerfile最佳实践
Dockerfiles最佳实践经验
02-01
本文档覆盖最佳的实例和Docker,Inc和致力于创建易用高效Dockerfile的Docker社区推荐的方法,强烈推荐大家准寻这些建议(事实上,如果我们想要创建一个官方镜像,我们必须采用这些实践经验)。我们可以看到这些经验和...
dockerfile-best-practices:编写Dockerfile最佳实践
05-24
编写Dockerfile最佳实践 该存储库是编写Dockerfile时的一系列良好实践的指南。 本指南以Node.js应用程序为例,它将是一个从非常基本的Dockerfile到可以投入生产的旅程,描述了开发Dockerfile时可能会遇到的一些...
Dockerfile 构建镜像最佳实践
小楼一夜听春雨,深巷明朝卖杏花
06-21 652
你可以通过dockerfile去定义你的容器镜像,包括它的中间件,包括哪些可运行的文件。你可以将一个应用里面所需要的所有依赖,都在dockerfile里面去定义好,docker 本身支持docker build的命令,它会依次去读取Dockerfile里面的这些指令,将这些指令转化为正真的容器镜像。 运行环境中,应用程序通常是以一个和多个进程运行的。(很方便的横向扩展,一个进程跑在这,当你量大了,扛不住了,我再启动一个进程,同时进程出现问题可以随意替换它,无共享,无状态,这样就可以以底层本的方式来管理大量进
docker入门之Dockerfile最佳实践
蛐蛐的博客
03-02 451
文档:Best practices for writing Dockerfiles | Docker Documentation 1.简介 Docker 通过从一个包含构建命令的 Dockerfile 文件中读取指令来自动构建镜像。 Dockerfile遵循特定格式和指令集。 2.镜像层 Docker 镜像由只读层组成,每个层代表一个 Dockerfile 指令。 这些层是堆叠的,每一层都是前一层变化的增量。 # syntax=docker/dockerfile:1 FROM
linux---进程通信
m0_74979625的博客
05-17 560
提示:以下是本篇文章正文内容,下面案例可供参考。
selinux的安全策略可以影响ntp的方式
最新发布
ALex_zry的博客
05-18 239
默认情况下,NTP使用UDP端口123进行通信,SELinux 策略需要允许NTP守护进程访问该端口。例如,可以创建一个策略,只允许受信任的NTP服务器与本地系统通信。:SELinux 提供了详细的日志和审计功能,可以帮助管理员监控和分析NTP守护进程的行为,以及检测任何潜在的安全问题。:SELinux 还可以限制NTP守护进程可以执行的操作,例如,是否可以打开套接字、是否可以读取或写入特定的设备等。:如果SELinux策略设置得太严格,可能会与NTP的正常操作发生冲突,导致NTP无法正常同步时间。
Linux动静态库
2301_80163789的博客
05-14 631
在程序翻译的链接阶段,其实就是把一堆.o文件链接在一起形成.exe文件。如果一个程序中需要链接很多个.o文件,那么这些.o文件就需要被打包才方便管理,**库文件本质就是把.o文件打包。**库文件是一种提高开发效率的手段。对于静态库,使用静态库形成可执行程序后,静态库被加载到了可执行程序的代码里,不需要让系统知道静态库在哪里;但对于动态库,由于动态库不加载到可执行程序里,而是动态加载到内存中,所以使用动态库要告诉系统动态库在哪(因为是系统来加载动态库)。动态库在编译时代码不会被复制到可执行文件中,而是。
dockerfile最佳实践
03-30
以下是一些Dockerfile最佳实践: 1. 使用官方基础镜像:选择一个合适的官方基础镜像作为起点,例如`ubuntu`、`alpine`等。官方镜像通常经过优化和安全性验证。 2. 合理使用镜像层缓存:Docker构建镜像时,每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值