Docker 学习路线:构建和优化容器镜像

发布时间:2023年12月23日

容器镜像和Dockerfile

容器镜像是可执行的软件包,包括运行应用程序所需的所有内容:代码、运行时、系统工具、库和设置。通过构建自定义镜像,您可以在任何支持 Docker 的平台上无缝地部署应用程序及其所有依赖项。

Dockerfile

构建容器镜像的关键组件是 Dockerfile。它本质上是一个包含有关如何组装 Docker 镜像的说明的脚本。Dockerfile 中的每个指令都会在镜像中创建一个新层,从而更容易跟踪更改并最小化镜像大小。以下是 Dockerfile 的简单示例:

# Use an official Python runtime as a parent image
FROM python:3.7-slim

# Set the working directory to /app
WORKDIR /app

# Copy the current directory contents into the container at /app
COPY . /app

# Install any needed packages specified in requirements.txt
RUN pip install --trusted-host pypi.python.org -r requirements.txt

# Make port 80 available to the world outside this container
EXPOSE 80

# Define environment variable
ENV NAME World

# Run app.py when the container launches
CMD ["python", "app.py"]

构建镜像

创建 Dockerfile 后,您可以使用 docker build 命令构建镜像。在包含 Dockerfile 的目录中的终端中执行以下命令:

docker build -t your-image-name .

此命令告诉 Docker 使用当前目录中的 Dockerfile(.)构建镜像,并为其指定名称(-t your-image-name)。

检查镜像和层

成功构建后,您可以使用 docker image 命令检查创建的镜像:

docker image ls

要更仔细地查看镜像的各个层,请使用 docker history 命令:

docker history your-image-name

要查看镜像的层,也可以使用 docker inspect 命令:

docker inspect your-image-name

要删除镜像,请使用 docker image rm 命令:

docker image rm your-image-name

将镜像推送到注册表

构建镜像后,您可以将其推送到容器注册表(例如 Docker Hub、Google Container Registry 等),以轻松分发和部署应用程序。首先使用您的凭据登录注册表:

docker login

然后,使用注册表 URL 标记您的镜像:

docker tag your-image-name username/repository:tag

最后,将已标记的镜像推送到注册表:

docker push username/repository:tag

构建容器镜像是使用 Docker 的重要方面,它使您可以轻松打包和部署应用程序。通过创建具有精确指令的 Dockerfile,您可以轻松地构建和分发各种平台的镜像。

高效的层缓存

在构建容器镜像时,Docker 会缓存新创建的层。这些层可以在构建其他镜像时重复使用,减少构建时间并最小化带宽使用。但是,要充分利用这种缓存机制,您需要了解如何有效地使用层缓存。

Docker 层缓存的工作原理

Docker 为 Dockerfile 中的每个指令(例如 RUNCOPYADD 等)创建一个新层。如果指令自上次构建以来没有更改,Docker 将重用现有的层。

例如,考虑以下 Dockerfile:

FROM node:14
WORKDIR /app
COPY package.json .
RUN npm install
COPY . .

第一次构建镜像时,Docker 将执行每个指令并为每个指令创建一个新层。如果对应用程序进行了一些更改并再次构建镜像,Docker 将检查更改的指令是否影响任何层。如果没有任何层受到更改的影响,Docker 将重用缓存的层。

有效使用层缓存的技巧

  • 最小化 Dockerfile 中的更改: 尽量减少 Dockerfile 中更改的频率,并以使最常更改的行出现在底部的方式构造指令。
  • 构建上下文优化: 使用 .dockerignore 文件从构建上下文中排除不必要的文件,这些文件可能会导致缓存失效。
  • 使用较小的基础镜像: 较小的基础镜像减少拉取基础镜像所需的时间以及需要缓存的层数。
  • 利用 Docker 的 -cachefrom 标志: 如果您正在使用 CI/CD 流水线,则可以指定要用作缓存源的镜像。
  • 组合多个指令: 在某些情况下,组合指令(例如 RUN)可以帮助最小化层数,使缓存更有效。

遵循这些最佳实践,您可以优化层缓存过程并减少 Docker 镜像的构建时间,从而使您的开发和部署过程更加高效。

镜像大小和安全性

在构建容器镜像时,了解镜像大小和安全性非常重要。镜像的大小会影响容器的构建和部署速度。较小的镜像可以提高构建速度,并减少下载镜

像时的网络开销。安全性也非常重要,因为容器镜像可能包含漏洞,这可能会对您的应用程序造成风险。

减小镜像大小

  • 使用适当的基础镜像: 选择一个更小、更轻量级的基础镜像,仅包含应用程序所需的必要组件。例如,如果可用,请考虑使用官方镜像的“alpine”变量,因为它通常比较小。
FROM node:14-alpine
  • 在单个“RUN”语句中运行多个命令: 每个“RUN”语句都会在镜像中创建一个新的层,这会增加镜像的大小。使用“&&”将多个命令组合到单个“RUN”语句中,以最小化层数并减小最终镜像大小
RUN apt-get update && \
    apt-get install -y some-required-package
  • 在同一层中删除不必要的文件: 在镜像构建过程中安装软件包或添加文件时,可以在同一层中删除临时或未使用的文件,以减小最终镜像大小。
RUN apt-get update && \
    apt-get install -y some-required-package && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*
  • 使用多阶段构建: 使用多阶段构建创建更小的镜像。多阶段构建允许您在 Dockerfile 中使用多个“FROM”语句。每个“FROM”语句在构建过程中创建一个新的阶段。您可以使用“COPY --from”语句将文件从一个阶段复制到另一个阶段。
FROM node:14-alpine AS build
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
RUN npm run build

FROM node:14-alpine
WORKDIR /app
COPY --from=build /app/dist ./dist
COPY package*.json ./
RUN npm install --production
CMD ["npm", "start"]
  • 使用“.dockerignore”文件: 使用“.dockerignore”文件从构建上下文中排除不必要的文件,这些文件可能会导致缓存失效并增加最终镜像大小。
node_modules
npm-debug.log

提高安全性

  • 保持基础镜像更新: 定期更新您在 Dockerfile 中使用的基础镜像,以确保它们包括最新的安全补丁。
  • 避免使用 root 运行容器: 始终在运行容器时使用非 root 用户,以最小化潜在风险。在运行应用程序之前,创建一个用户并切换到该用户。
RUN addgroup -g 1000 appuser && \
    adduser -u 1000 -G appuser -D appuser
USER appuser
  • 限制“COPY”或“ADD”指令的范围: 具体说明要复制到容器镜像中的文件或目录。避免使用“COPY . .”,因为它可能会意外包含敏感文件。
COPY package*.json ./
COPY src/ src/
  • 扫描镜像以查找漏洞: 使用 Anchore 或 Clair 等工具扫描您的镜像以查找漏洞,并在部署之前修复它们。

遵循这些最佳实践,您将能够构建更高效和安全的容器镜像,从而提高性能并降低应用程序中漏洞的风险。

最后

为了方便其他设备和平台的小伙伴观看往期文章:

微信公众号搜索:Let us Coding,关注后即可获取最新文章推送

看完如果觉得有帮助,欢迎 点赞、收藏、关注

文章来源:https://blog.csdn.net/2302_76489021/article/details/135165226
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。