Dockerfile编写规范检查工具
hadolint是一个检查Dockerfile是否符合编写规范的工具。使用起来非常简单,从GitHub上下载对应系统的可执行文件然后执行:
hadolint Dockerfile
GitHub官网和介绍:https://github.com/hadolint/hadolint/blob/master/README.md
查看Docker构建历史
对于已有镜像,可以查看docker image构建历史和每层大小,决定是否需要优化。
docker history <image>
最佳实践
Docker官网最佳实践讲解:https://docs.docker.com/develop/develop-images/dockerfile_best-practices/
保持镜像简单
- 不要将多个应用打包到一个镜像中。
- 不要安装用不到的软件包。
- 减少镜像的层数。将RUN命令的内容合并在一起,形成一条RUN命令。
使用.dockerignore
在不影响项目结构的情况下,可以使用.dockerignore文件(写法和.gitignore类似),排除不需要加入镜像的文件。
使用多阶段构建
多阶段构建可以显著减少最终镜像占用的空间大小。
一个典型的用法是将项目编译和和最终使用环境分离开。这样最终镜像不会包含编译过程的中间产物。
# syntax=docker/dockerfile:1
FROM golang:1.16-alpine AS build
# Install tools required for project
# Run `docker build --no-cache .` to update dependencies
RUN apk add --no-cache git
RUN go get github.com/golang/dep/cmd/dep
# List project dependencies with Gopkg.toml and Gopkg.lock
# These layers are only re-built when Gopkg files are updated
COPY Gopkg.lock Gopkg.toml /go/src/project/
WORKDIR /go/src/project/
# Install library dependencies
RUN dep ensure -vendor-only
# Copy the entire project and build it
# This layer is rebuilt when a file changes in the project directory
COPY . /go/src/project/
RUN go build -o /bin/project
# This results in a single layer image
FROM scratch
COPY --from=build /bin/project /bin/project
ENTRYPOINT ["/bin/project"]
CMD ["--help"]
Dockerfile指令顺序
Dockerfile中尽量把可能发生变化的指令放在后面。这样构建时可以充分利用镜像缓存。
容器内不要使用sudo
不能使用sudo。sudo和su命令处理signal的时候会有非常奇怪的问题。sudo的进程号为1,sudo后命令的进程号不是1。只有PID为1的进程才会响应系统发送过来的信号量。所以容器内不能使用sudo su等命令启动应用进程。
解决方法:
- 如果入口脚本不需要root用户执行,建议使用Dockerfile的USER指令,在
CMD/ENTRYPOINT之前切换用户。 - 如果入口脚本需要用root执行,但是启动主进程的时候需要其他用户,建议使用gosu。可参考:https://blog.csdn.net/boling_cavalry/article/details/93380447
主进程PID需要为1
如果主进程PID不为1,Docker容器主进程无法响应系统signal。
为了确保主进程PID为1,入口脚本执行主进程的时候必须使用exec <启动命令>方式调用。例如:
exec gosu redis "$0" "@"
apt-get之后需要清理
不推荐的使用方式:
RUN apt-get update && apt-get install -y python
推荐的使用方式:
RUN apt-get update && apt-get install -y python \
&& apt-get clean \
&& rm -rf /var/lib/apt/lists/*
WORKDIR 需要使用绝对路径
WORKDIR使用相对路径的话,需要搞清楚上文中的WORKDIR。上文中的WORKDIR可能隐藏在了base image中,出现问题非常难以排查。因此WORKDIR需要使用绝对路径。
Dockerfile中使用root用户执行命令之后,一定要切换会非root用户
不推荐使用:
FROM debian:buster
USER root
RUN ...
推荐使用:
FROM debian:buster
USER root
RUN ...
USER guest
使用WORKDIR 切换工作目录,尽量不要使用cd命令。
建议所有的路径使用绝对路径。
RUN命令中如果使用了cd命令,仅在这一条RUN中生效。后面RUN命令的目录会回到WORKDIR。
base image需要指定版本
不推荐使用:
FROM debian:latest
推荐使用:
FROM debian:jessie
yum apt-get等命令安装软件包时使用-y参数
不加-y很容易遇到问题中断构建过程。
pip安装时添加参数--no-cache-dir
在Docker镜像中没有缓存软件包的必要。加上此参数可减小镜像空间占用。
RUN pip3 install --no-cache-dir foobar
apk安装软件使用--no-cache参数
FROM alpine:3.7
RUN apk --no-cache add foo=1.0
apt yum pip等包管理工具安装软件时需要指定软件包版本
如果不指定版本号,随着软件包的更新,不同时间构建出的镜像中安装的软件包版本可能会不同。
不要使用apt命令,使用apt-get
apt是一个用户终端工具。它的行为不稳定,可能随着版本的变化而变化。不推荐使用。
yum dnf zypper 等安装软件包之后需要执行clean all
例如:
RUN yum install -y httpd-2.24.2 && yum clean all
RUN dnf install -y httpd-2.24.2 && dnf clean all
RUN zypper install -y httpd=2.4.46 && zypper clean
添加文件和目录的时候使用COPY命令
仅仅在需要使用自动解压(将tar或者zip解压到镜像某个目录中)的时候才允许使用ADD。其他情况一律使用COPY。
useradd需要指定-l参数
英文解释如下:
Without the -l or the --no-log-init flag, useradd will add the user to the lastlog and faillog databases. This can result in the creation of logically large (sparse) files under /var/log, which in turn unnecessarily inflates container image sizes. This is due to the lack of support for sparse files in overlay filesystems.
大致解释为如果不添加-l或者是--no-log-init,useradd命令会把用户加入lastlog和faillog数据库。会在/var/log目录创建大量的疏松文件。Docker image用的是overlay文件系统,对这种疏松文件的支持不足。建议创建用户时添加-l或者--no-log-init。
使用cd ... || exit代替简单的cd
构建时cd命令可能会失败,但是构建会继续执行。后续的构建命令会在错误的目录中执行。
需要使用cd ... || exit(function内使用cd ... || return)可以在cd遇到错误的时候退出构建。
wget大文件需要使用--progress参数
可以避免打印过多的日志。
FROM ubuntu:20
RUN wget --progress=dot:giga https://example.com/big_file.tar
网友评论