重構:保持Dockerfile整潔的5個技巧
當Dockerfile超出合理范圍時,會出現以下問題:
很難理解和維護-我們需要閱讀數百行以了解所有依賴關系
在這么多行之間可能忽略一個明顯的安全問題
當每個人都在更改同一文件時,Git將引發更多沖突
如果我們不清理每個依賴項,可能會導致鏡像體積沉重
最好的解決方案是將Dockerfile拆分為多個Dockerfile,以使我們的Dockerfile更小,更易于理解和維護。
這里是一些減少Dockerfile大小的技巧。
重構1:從其官方鏡像中獲取依賴
避免創建從官方鏡像復制的工件。例如:我需要使用terraform沒必要再重新apt-get安裝了,可以直接使用帶有terraform的官方鏡像。
原始Dockerfile
- FROM golang:1.12
- RUN apt-get update && \
- apt-get upgrade -y && \
- apt-get install -y git openssh-client zip
- WORKDIR $GOPATH/src/github.com/hashicorp/terraformRUN git clone https://github.com/hashicorp/terraform.git ./ && \
- git checkout v0.12.9 && \
- ./scripts/build.shWORKDIR /my-configCOPY . /my-config/CMD ["terraform init"]
重構后Dockerfile
- FROM hashicorp/terraform:0.12.9 AS terraform
- FROM golang:1.12
- COPY --from=terraform /go/bin/terraform /usr/bin/terraformWORKDIR /my-config
- COPY . /my-config/
- CMD ["terraform init"]
重構2:將依賴項提取到另一個Dockefile中
如果沒有正式鏡像,您可以從中提取工件,則應將其構建分離到另一個Dockefile中。然后將工件復制到原始Dockerfile中。
原始Dockerfile:
- FROM golang:1.12
- RUN apt-get update && \
- apt-get upgrade -y && \
- apt-get install -y git openssh-client
- WORKDIR /go/src/gitlab.com/sahilm/
- RUN git clone https://github.com/sahilm/yamldiff.git
- RUN cd yamldiff && \ go get -u github.com/golang/dep/cmd/dep && \
- dep ensure && \ GOOS=linux go build -o /usr/local/yamldiff
- WORKDIR /my-appCOPY . /my-app/CMD ["./run.sh"]
重構:用于yamldiff的Dockerfile。
- FROM golang:1.12
- RUN apt-get update && \
- apt-get upgrade -y && \
- apt-get install -y git openssh-client
- WORKDIR /go/src/gitlab.com/sahilm/
- RUN git clone https://github.com/sahilm/yamldiff.git
- RUN cd yamldiff && \ go get -u github.com/golang/dep/cmd/dep && \
- dep ensure && \ GOOS=linux go build -o /usr/local/yamldiff
- CMD ["bash"]
重構:應用程序的Dockerfile。
- FROM Marvalero/yamldiff:latest AS yamldiff
- FROM golang:1.12
- COPY --from=yamldiff /usr/bin/yamldiff /usr/bin/yamldiffWORKDIR /my-app
- COPY . /my-app/
- CMD ["./run.sh"]
重構3:將鏡像分成多個階段
Docker具有多階段功能,當您的Dockerfile具有不同的部分時,它會派上用場。最常見的用例是進行構建,然后在主鏡像中復制工件。具有不同的階段可以使您的Dockerfile更加清晰和安全。
- FROM golang:1.12
- RUN apt-get update && \
- apt-get upgrade -y && \
- apt-get install -y git openssh-client
- WORKDIR /go/src/gitlab.com/sahilm/
- RUN git clone https://github.com/sahilm/yamldiff.git
- RUN cd yamldiff && \ go get -u github.com/golang/dep/cmd/dep && \
- dep ensure && \ GOOS=linux go build -o /usr/local/yamldiff
- CMD ["bash"]
重構Dockerfile:
- FROM golang:1.12 as Builder
- RUN apt-get update && \
- apt-get upgrade -y && \
- apt-get install -y git openssh-client
- WORKDIR /go/src/gitlab.com/sahilm/
- RUN git clone https://github.com/sahilm/yamldiff.git
- RUN cd yamldiff && \ go get -u github.com/golang/dep/cmd/dep && \
- dep ensure && \ GOOS=linux go build -o /usr/local/yamldiff
- FROM ubuntu:18.04
- COPY --from=Builder /usr/local/yamldiff /usr/local/yamldiff
- CMD ["bash"]
重構4:對多行參數進行排序
盡可能對多行參數進行排序。這有助于仔細檢查沒有重復的程序包。
- FROM ubuntu:18.04
- RUN apt-get -yqq install \
- ca-certificates \ bash \ jq \ wget \ curl \ openssh-client \
- build-essential \
- libpng-dev \ python \ zipCDM ["bash"]
重構Dockerfile:
- FROM ubuntu:18.04
- RUN apt-get -yqq install \
- bash \ build-essential \
- ca-certificates \ curl \ jq \ libpng-dev \ openssh-client \
- python \ wget \ zipCDM ["bash"]
重構5:標簽
在使用Docker鏡像時,保持標簽整潔也至關重要。我總是覺得擁有三種類型的標簽非常有用:
分支名稱:標識特定分支的鏡像的最新版本
注意:為什么不使用latest?使用時latest,我永遠不知道它是表示整個存儲庫中的最新穩定版本還是最新版本。使用分支的名稱(如master,feature/new-class等)指向一個分支最新版本是方式更直觀。
版本:需要區分修補程序和重大更改。我建議使用語義版本控制(major.minor.patch)。
提交:我一直想知道標簽所指向的提交。現在,您可以通過在存儲庫中創建版本標記來執行此操作。但是,當這不可能時,只需使用其Commit SHA標記鏡像即可。
