重学容器25: 编写Dockerfile的一些实践经验
2021-07-24
前面2节学习了容器存储挂载的基础知识,本节开始学习容器镜像构建相关知识。
当使用Containerd作为容器运行时,我们构建容器镜像的工具链发生了变化,前面在《第11节,容器镜像构建工具和方案介绍》中介绍了替代docker build的一些方案。
我们在实际中选择的是buildkit。关于buildkit,分别在《第5节,使用nerdctl + buildkitd构建容器镜像》,《第12节,使用buildkit实现容器镜像的远程构建,《第13节,在k8s集群上部署buildkit
》做了详细的介绍。
使用buildkit也是需要根据Dockerfile中的指令构建出镜像的,因此本节整理一下编写Dockerfile的一些最佳实践。
FROM指令 #
我们的镜像应该是基于官方镜像的,推荐选择Alpine镜像,作为一个完整的Linux发行版它的镜像大小小于5MB。
1FROM alpine:3.14.0
基于alpine的glibc基础镜像 #
实际上我们基于https://github.com/sgerrand/alpine-pkg-glibc这个项目,从官方的alpine镜像构建出了alpine-glibc作为我们的基础镜像。alpine-glibc基础镜像参考了https://github.com/Docker-Hub-frolvlad/docker-alpine-glibc/blob/master/Dockerfile这个Dockerfile。我们在这个Dockerfile的基础上加了一层对时区的定制,将时区修改为中国时区。
1FROM alpine:3.14
2
3ENV LANG=C.UTF-8
4
5# Here we install GNU libc (aka glibc) and set C.UTF-8 locale as default.
6
7RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories &&\
8 ALPINE_GLIBC_BASE_URL="https://github.com/sgerrand/alpine-pkg-glibc/releases/download" && \
9 ALPINE_GLIBC_PACKAGE_VERSION="2.33-r0" && \
10 ALPINE_GLIBC_BASE_PACKAGE_FILENAME="glibc-$ALPINE_GLIBC_PACKAGE_VERSION.apk" && \
11 ALPINE_GLIBC_BIN_PACKAGE_FILENAME="glibc-bin-$ALPINE_GLIBC_PACKAGE_VERSION.apk" && \
12 ALPINE_GLIBC_I18N_PACKAGE_FILENAME="glibc-i18n-$ALPINE_GLIBC_PACKAGE_VERSION.apk" && \
13 apk add --no-cache --virtual=.build-dependencies wget ca-certificates && \
14 echo \
15 "-----BEGIN PUBLIC KEY-----\
16 MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApZ2u1KJKUu/fW4A25y9m\
17 y70AGEa/J3Wi5ibNVGNn1gT1r0VfgeWd0pUybS4UmcHdiNzxJPgoWQhV2SSW1JYu\
18 tOqKZF5QSN6X937PTUpNBjUvLtTQ1ve1fp39uf/lEXPpFpOPL88LKnDBgbh7wkCp\
19 m2KzLVGChf83MS0ShL6G9EQIAUxLm99VpgRjwqTQ/KfzGtpke1wqws4au0Ab4qPY\
20 KXvMLSPLUp7cfulWvhmZSegr5AdhNw5KNizPqCJT8ZrGvgHypXyiFvvAH5YRtSsc\
21 Zvo9GI2e2MaZyo9/lvb+LbLEJZKEQckqRj4P26gmASrZEPStwc+yqy1ShHLA0j6m\
22 1QIDAQAB\
23 -----END PUBLIC KEY-----" | sed 's/ */\n/g' > "/etc/apk/keys/sgerrand.rsa.pub" && \
24 wget \
25 "$ALPINE_GLIBC_BASE_URL/$ALPINE_GLIBC_PACKAGE_VERSION/$ALPINE_GLIBC_BASE_PACKAGE_FILENAME" \
26 "$ALPINE_GLIBC_BASE_URL/$ALPINE_GLIBC_PACKAGE_VERSION/$ALPINE_GLIBC_BIN_PACKAGE_FILENAME" \
27 "$ALPINE_GLIBC_BASE_URL/$ALPINE_GLIBC_PACKAGE_VERSION/$ALPINE_GLIBC_I18N_PACKAGE_FILENAME" && \
28 apk add --no-cache \
29 "$ALPINE_GLIBC_BASE_PACKAGE_FILENAME" \
30 "$ALPINE_GLIBC_BIN_PACKAGE_FILENAME" \
31 "$ALPINE_GLIBC_I18N_PACKAGE_FILENAME" && \
32 \
33 rm "/etc/apk/keys/sgerrand.rsa.pub" && \
34 /usr/glibc-compat/bin/localedef --force --inputfile POSIX --charmap UTF-8 "$LANG" || true && \
35 echo "export LANG=$LANG" > /etc/profile.d/locale.sh && \
36 \
37 apk del glibc-i18n && \
38 \
39 rm "/root/.wget-hsts" && \
40 apk del .build-dependencies && \
41 rm \
42 "$ALPINE_GLIBC_BASE_PACKAGE_FILENAME" \
43 "$ALPINE_GLIBC_BIN_PACKAGE_FILENAME" \
44 "$ALPINE_GLIBC_I18N_PACKAGE_FILENAME"
45
46RUN apk update --no-cache && apk add ca-certificates --no-cache && \
47 apk add tzdata --no-cache && \
48 ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime && \
49 echo "Asia/Shanghai" > /etc/timezone
这样我们就得到了一个基于alpine的包含glibc同时设置时区为中国时区的基础镜像alpine-glibc。
为什么需要glibc的alpine基础镜像呢?alpine镜像小而简单的特性是我们需要的,但是因为alpine镜像中是musl-libc,而debian, ubuntu等镜像使用的gnu-libc。但是musl libc与大多数软件常用的标准库glibc不兼容,为了避免在alpine基础镜像中安装其他软件时遇到兼容性的问题,就需要alpine-glibc基础镜像。
Label指令 #
建议通过Label指令来为镜像添加元数据信息,添加多个label建议只使用一个Label指令,采用下面的形式:
1LABEL multi.label1="value1" \
2 multi.label2="value2" \
3 other="value3"
为镜像加入维护者信息现在也推荐使用Label指令,而不是过去已经废弃的MAINTAINER指令:
1LABEL org.opencontainers.image.authors="[email protected]"
RUN指令 #
当RUN指令后边的命令太长时,可以将命令拆成多行,这样Dockerfile就保持了良好的可读性:
1RUN apk update --no-cache && apk add ca-certificates --no-cache && \
2 apk add tzdata --no-cache && \
3 ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime && \
4 echo "Asia/Shanghai" > /etc/timezone
alpine包管理工具apk使用 #
RUN指令使用apk安装软件时注意使用--no-cache,避免缓存保留到镜像的层中使镜像变得臃肿。
另外建议将apk软件包仓库更换成国内的镜像(例如阿里云的),这样可以大大提高下载速度,切换仓库源为镜像的这步建议放到基础镜像alpine—glibc中:
1RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories &&\
2 apk update --no-cache && apk add ca-certificates --no-cache && \
3 apk add tzdata --no-cache
在需要使用apk安装某个软件之前,建议到官方packages网站https://pkgs.alpinelinux.org/packages去搜索一下,在这里可以搜索某个具体软件在某个alpine版本下对应的版本。
注意仓库分为main和community两个,另外就是可以直接选择从某个alpine版本的仓库安装具体的版本的软件:
1RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories &&\
2 apk add --no-cache go=1.16.5-r0 --repository https://mirrors.aliyun.com/alpine/v3.14/community
另外apk的使用还有一点是要善于利用--virtual参数,将多个包的集合命名为一个名称,方便了后续卸载,例如:
1RUN apk add --no-cache --virtual=.build-dependencies git openssh-client &&\
2## ... 使用git openssh-client 做一些操作,但镜像构建完成后不希望git保留在镜像中
3apk del .build-dependencies
CMD指令 #
CMD指令用于执行镜像中包含的可执行文件,可以带参数。大多数情况都应该以CMD["executable", "param1", "param2"]的形式使用。
例如下面的例子:
1CMD exec java $JAVA_OPTS -Djava.security.egd=file:/dev/./urandom -jar springboot-example.jar
CMD的另外一种使用形式是CMD ["param", "param"],这种形式只有和ENTRYPOINT结合使用的情况下才会用到。
ENTRYPOINT指令 #
ENTRYPOINT可以用来设置镜像的主命令,启动该镜像的容器时将会执行ENTRYPOINT中指定的命令。 CMD可以作为ENTRYPOINT的补充,指定主命令的默认参数。
1ENTRYPOINT ["kubectl"]
2CMD ["--help"]
ENTRYPOINT还可以结合一个辅助脚本使用,下面是官方redis:alpine3.14镜像中的辅助脚本entrypoint.sh:
1#!/bin/sh
2set -e
3
4# first arg is `-f` or `--some-option`
5# or first arg is `something.conf`
6if [ "${1#-}" != "$1" ] || [ "${1%.conf}" != "$1" ]; then
7 set -- redis-server "$@"
8fi
9
10# allow the container to be started with `--user`
11if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
12 find . \! -user redis -exec chown redis '{}' +
13 exec su-exec redis "$0" "$@"
14fi
15
16exec "$@"
在shell脚本中可以做一些设置工作,最后在调用linux系统的exec命令执行所有参数,借助ENTRYPOINT,就可以以多种方式启动容器。
其Dockerfile如下:
1......
2COPY docker-entrypoint.sh /usr/local/bin/
3ENTRYPOINT ["docker-entrypoint.sh"]
4
5EXPOSE 6379
6CMD ["redis-server"]
EXPOSE指令 #
EXPOSE指令用来指定容器中软件监听的端口。对于一些常见的软件和服务,我们应该指定它们的默认端口,尽量不要去改动它,例如mysql的3306。
ENV指令 #
ENV指令用来指定镜像中的环境变量。比如对于mysql镜像我们可以将mysql的bin目录加到环境变量PATH中。
1ENV PATH /usr/local/mysql/bin:$PATH
多个环境变量的指定:
1ENV GRADLE_HOME=/usr/local/gradle \
2PATH=/usr/local/gradle/bin:$PATH
ADD和COPY指令 #
ADD和COPY的功能类似,但一般优先使用COPY,因为其功能更单一,只是将本地文件拷贝到容器中。 而ADD还包括压缩文件解压以及下载URL指定的远程文件功能。
可以用ADD实现将本地的tar.gz文件拷贝并解压缩到镜像中,例如ADD app-deps.tar.xz。
为了保持构建出来的镜像体积最小,不要使用ADD指令从远程URL下载内容,而是使用一个RUN指令里执行curl或者wget先执行下载,使用完下载完的文件后,如果不再需要它可以将它删除。
VOLUME指令 #
在Dockerfile的语法中可以通过VOLUME指令创建一个或多个volume,当使用构建出来的镜像启动容器时将自动创建和挂载为匿名的volume。
关于Volume的使用在上节已经介绍过了。
USER指令 #
在构建镜像时,能不以root用户运行服务,尽量不要以root运行,而是使用USER指令切换到非root用户,使用USER指令前,应该使用RUN指令先创建对应用户。
1RUN adduser patrick -u 9999 -D -H -s /sbin/nologin
2USER patrick
创建用户的时候指定uid十分重要,这个在后边使用k8s管理运行容器时,以非特权用户执行时会用到。
WORKDIR指令 #
WORKDIR指令为Dockerfile中跟随它的任何RUN、CMD、ENTRYPOINT、COPY和ADD指令设置工作目录。WORKDIR应该尽量使用绝对路径。