前言
在日常的开发和运维中,我们时长会使用Dockerfile脚本制作镜像。
其实编写一个Dockerfile文件用到的标签并不会太多,但是不同的Dockerfile在制作后产生的镜像大小是不尽相同的,这篇文章就来梳理一下,编写脚本过程中,容易犯的错误和躺的坑。
一、拉取最新的镜像
在从镜像仓库拉取镜像时,不指定任何版本的情况下,默认会拉取最新(latest)的版本。这在我们构建集群和复用时会造成困扰,也就是说只要组件的镜像仓库还在更新,不同时间拉取到的镜像版本可能是不一样的,那样简直太混乱了,所以,在拉取镜像时,记得加上具体的版本号。
二、在构建时使用外部脚本命令
很多人在构建镜像时,没有明确的区分出在宿主机上和在容器内执行的区别。
构建映像时,Docker读取Dockerfile中的命令并从中创建镜像,不应该在文件里使用一些宿主机上的命令,因为这些环境在容器内,可能压根就没有。如:
# !!! 宿主机上有python环境,但容器内部可能没有,这是两套环境 !!!
RUN python start.py
三、把容易变化的命令放前面
在保证逻辑执行正确的情况下,可以把不容易变化的命令放在前面,因为这样可以
我们应该把变化最少的部分放在 Dockerfile 的前面,这样可以充分利用镜像缓存。
什么是镜像缓存?
Dockerfile 中每一个指令都会创建一个镜像层,依赖顺序和命令的顺序刚好相反,比如最开始的from centos7.3 就是最底层的基础镜像。在构建时 会缓存已有镜像的镜像层,如果某镜像层已经存在,就直接使用,无需重新创建。
原镜像1.0版本构建后的某一天,某个小伙伴说:需要修改start.sh来创建一个新的1.1版本的镜像,由于合理的组织命令顺序,所以能命中很多的层,构建效率也大大加快了。
还想提一点的是,ENV,设置环境变量命令。
在Dockerfile中无论是后面的其它指令,如 RUN,还是在容器中,运行时的应用,都可以直接使用这里定义的环境变量。我们在创建某种组件的镜像时,常常将组件的版本号设置为一个环境变量,其好处是方便我们后的续修改。所以这里建议,在Dockerfile的后续命令中,没有用到的环境变量,尽量定义到最后面,原因你懂的(改版本后能尽量命中更多缓存)。
四、非正规的混乱多个镜像
举一个极端的例子,假如你想要构建的镜像既有python环境,又有java环境,可能会写出如下的命令:
FROM jdk:1.8.9
FROM python:3.5
不过这并不会达到预期的效果,Docker会使用最后的一个FROM,并且忽略掉前面所有的From内容。所以正确的做法应该先使用Dockerfile构建一个具有java和python环境的centos基础镜像,然后你的程序再依赖这个基础镜像即可。
注意,上述原理只在Docker v17.05 前,在这个版本后,为解决以上问题,开始支持多阶段构建 (multistage builds)。使用多阶段构建我们就可以很容易解决前面提到的问题,并且只需要编写一个 Dockerfile。
每条FROM指令可以使用不同的基础镜像,这样您可以选择性地将服务组件从一个阶段COPY到另一个阶段,在最终镜像中只保留需要的内容。
五、在一个容器中运行多个服务
在一个容器中运行多个服务,会导致编写的Dockerfile变得更加复杂和困难,并且,附加的一些依赖会让构建速度变慢,不利于调试和维护。
当然,如果是测试环境限制,可以在一个容器中运行多个服务,但是并不建议在生产环境这样做,不利于水平扩展单个应用。
六、在构建过程中使用数据卷
Dockerfile为我们提供数据卷的功能,在文件中,我们可以使用VOLUME命令来指定匿名数据卷,当然你可以在运行容器时指定,写在这里的目的是:为了防止运行时用户忘记指定数据卷映射,所以我们可以事先指定某些目录挂载为匿名卷,这样在运行时如果用户不指定挂载,其应用也可以正常运行。
VOLUME /data
RUN echo "构建过程中搞事情?!!!!" > /data/myfile.txt
CMD ["cat", "/data/myfile.txt"]
$ docker run volume-in-build
cat: can't open '/data/myfile.txt': No such file or directory
VOLUME /data
这里的 /data 目录就会在运行时自动挂载为匿名卷,任何向 /data 中写入的信息都不会记录进容器存储层,从而保证了容器存储层的无状态化。当然,运行时可以覆盖这个挂载设置:
docker run -d -v host/data:/data xxxx
七、纠结如何选择ADD或COPY命令
虽然功能类似,ADD和COPY实际上是不同的命令。COPY是这两种方法中最简单的一种,因为它只是将文件或目录从您的主机复制到镜像中。ADD也能做到这一点,但它还有一些更神奇的特性,比如提取tar文件或从远程url获取文件。一般情况下,建议使用ADD来代替COPY命令,由图所知,一行ADD能做完的事,COPY需要三行。但是从另一个角度来说,为了降低Dockerfile的复杂性,并防止一些意外的行为,也可以选择使用COPY命令。
八、多个命令的合并
上面对比过ADD命令和COPY的区别,由于每一行指令会构建一个镜像层,所以在编写Dockerfile的时候,可以一些命令串联成一行,中间通过&&运算符,一行结束位置加上 \ 符号,融合命令后,能够降低镜像的体积。案例如下:
RUN set -ex && \
apk upgrade --no-cache && \
apk add --no-cache bash tini libc6-compat && \
mkdir -p /opt/spark && \
mkdir -p /opt/spark/work-dir \
touch /opt/spark/RELEASE && \
rm /bin/sh && \
ln -sv /bin/bash /bin/sh && \
chgrp root /etc/passwd && chmod ug+rw /etc/passwd
总结
本篇文章,介绍了在编写Dockerfile中的一些心得和体会,编写一个好的Dockerfile将会让我们更熟悉Docker的工作机制,降低我们构建镜像所花的时间。提升我们在日常开发中的工作效率。